Getty Images
Une équipe implacable de pirates informatiques pro-russes a exploité une vulnérabilité zero-day dans un logiciel de messagerie Web largement utilisé dans des attaques ciblant des entités gouvernementales et un groupe de réflexion, tous en Europe, ont déclaré mercredi des chercheurs de la société de sécurité ESET.
La vulnérabilité jusqu’alors inconnue résultait d’une erreur critique de script intersite dans Roundcube, une application serveur utilisée par plus de 1 000 services de messagerie Web et des millions de leurs utilisateurs finaux. Les membres d’un groupe de piratage pro-russe et biélorusse suivi sous le nom de Winter Vivern ont utilisé le bug XSS pour injecter du JavaScript dans l’application serveur Roundcube. L’injection a été déclenchée simplement par la visualisation d’un e-mail malveillant, ce qui a amené le serveur à envoyer des e-mails provenant de cibles sélectionnées à un serveur contrôlé par l’acteur menaçant.
Aucune interaction manuelle requise
« En résumé, en envoyant un message électronique spécialement conçu, les attaquants sont capables de charger du code JavaScript arbitraire dans le contexte de la fenêtre du navigateur de l’utilisateur de Roundcube », a écrit Matthieu Faou, chercheur d’ESET. « Aucune interaction manuelle autre que l’affichage du message dans un navigateur Web n’est requise. »
Les attaques ont commencé le 11 octobre et ESET les a détectées un jour plus tard. ESET a signalé la vulnérabilité Zero Day aux développeurs de Roundcube le même jour et ils ont publié un correctif le 14 octobre. La vulnérabilité est suivie comme CVE-2023-5631 et affecte les versions de Roundcube 1.6.x avant 1.6.4, 1.5.x avant. 1.5.5 et 1.4.x avant 1.4.15.
Winter Vivern est opérationnel depuis au moins 2020 et cible les gouvernements et les groupes de réflexion, principalement en Europe et en Asie centrale. En mars, le groupe menaçant a été repéré ciblant des responsables du gouvernement américain qui avaient exprimé leur soutien à l’Ukraine dans sa tentative de repousser l’invasion russe. Ces attaques ont également exfiltré les e-mails des cibles, mais ont exploité un XSS distinct déjà corrigé dans Zimbra Collaboration, un progiciel également utilisé pour héberger des portails de messagerie Web.
« Cet acteur a été tenace dans son ciblage des responsables américains et européens ainsi que du personnel militaire et diplomatique en Europe », a déclaré en mars un chercheur en menaces de la société de sécurité Proofpoint, en révélant les attaques exploitant la vulnérabilité de Zimbra. « Depuis fin 2022, [Winter Vivern] a investi beaucoup de temps à étudier les portails de messagerie Web des entités gouvernementales européennes et à analyser les infrastructures accessibles au public à la recherche de vulnérabilités, le tout dans le but d’accéder, à terme, aux courriels de ceux qui sont étroitement impliqués dans les affaires gouvernementales et la guerre entre la Russie et l’Ukraine.
L’e-mail utilisé par Winter Vivern dans la récente campagne provenait de l’adresse [email protected] et avait pour sujet « Commencez dans votre Outlook ».
L’e-mail envoyé dans la campagne.
Enfoui profondément dans le code source HTML se trouvait un élément de code mal formé appelé balise SVG. Il contenait du texte codé en base 64 qui, une fois décodé, était traduit en JavaScript contenant une commande à exécuter en cas d’erreur. Étant donné que la balise contenait une erreur intentionnelle, la commande malveillante a été invoquée et le bug XSS a permis à Roundcube d’exécuter le JavaScript résultant.
ESET
La charge utile JavaScript finale demandait aux serveurs vulnérables de répertorier les dossiers et les e-mails du compte de messagerie de la cible et d’exfiltrer les e-mails vers un serveur contrôlé par un attaquant en envoyant des requêtes HTTP à https://recsecas.[.]com/controlserver/saveMessage.
ESET
Le succès précédent de Winter Vivern en exploitant une vulnérabilité Zimbra déjà corrigée devrait être un avertissement. Toute personne utilisant Roundcube en tant qu’administrateur de serveur ou utilisateur final doit s’assurer que le logiciel exécute une version corrigée.