Une nouvelle vulnérabilité de type zero-day a été exploitée récemment dans la plateforme de messagerie open-source Zimbra, ce bogue est de type spear-phishing et il a débuté en décembre 2021.

L’opération d’espionnage nommée « EmailThief » a été détaillée par la société de cybersécurité Volexity dans un rapport technique, notant que l'exploitation réussie de la vulnérabilité XSS (cross-site scripting) pourrait entraîner l'exécution de code JavaScript arbitraire dans le contexte de la session Zimbra de l'utilisateur.

Le bogue a un impact sur la plus récente édition open-source de Zimbra, la version 8.8.15. D’après Volexity, l’attaque s’est déroulée en deux phases : la première phase visait à reconnaître et à distribuer des courriels destinés à vérifier si une cible recevait et ouvrait les messages. Dans la phase suivante, de multiples vagues d'e-mails ont été diffusées pour inciter les destinataires à cliquer sur un lien malveillant.

« Pour que l'attaque réussisse, la cible devait visiter le lien de l'attaquant tout en étant connectée au client de messagerie Zimbra à partir d'un navigateur Web. Le lien lui-même, cependant, pourrait être lancé depuis une application incluant un client lourd, comme Thunderbird ou Outlook. » a expliqué la société de cybersécurité.

L’exploit réussi de la faille non corrigée, pourrait être utilisé pour exfiltrer des cookies afin de permettre un accès persistant à une boîte aux lettres, envoyer des messages de phishing à partir du compte de messagerie compromis pour étendre l'infection, et même faciliter le téléchargement de logiciels malveillants supplémentaires.

Les utilisateurs de Zimbra devraient envisager de passer à la version 9.0.0, car il n'existe actuellement aucune version sécurisée de la 8.8.15.