Im Webmailer Roundcube, der etwa im universitären Umfeld und auch bei Regierungsorganisationen häufig zum Einsatz kommt, versuchen Angreifer, eine Sicherheitslücke zu missbrauchen. Die Angreifer versuchten konkret, Zugangsdaten und weitere Mails der potenziellen Opfer abzugreifen, sie also auszuspähen.
Anzeige
Positive Technologies schreibt in einer Analyse, dass sie die Angriffe im September 2024 entdeckt haben. Eine E-Mail, die auf den Juni datierte, wurde dort an eine Regierungsorganisation eines GUS-Staates gesendet. Die E-Mail schien keinen Text zu enthalten, lediglich einen Anhang. Im Client wurde der Anhang jedoch nicht angezeigt. Ein Java-Befehl im Mail-Body dekodierte Javascript-Code, der ausgeführt wird. Der Attribut-Name "href " mit einem zusätzlichen Leerzeichen sei Indiz dafür gewesen, dass die Sicherheitslücke CVE-2024-37383 in Roundcube attackiert wurde.
Bei der Schwachstelle handelt es sich um eine Cross-Site-Scripting-Lücke bei der Verarbeitung von SVG-Animate-Attributen. Sie wurde in den Versionen Roundcube 1.5.7 und 1.6.7 im Mai geschlossen. Durch die Lücke können Angreifer Javascript-Code im Kontext von Nutzern ausführen lassen.
Die Angreifer-Mail hat mit den dekodierten Javascript-Anweisungen ein leeres Dokument "Road map.docx" gespeichert, das Base64-kodiert wurde. Zudem versuchten sie, Nachrichten vom Mailserver mit dem Managesieve-Plug-in zu erhalten. Außerdem zeigte der Code ein Autorisierungsformular für die Zugangsdaten zum Roundcube-Client an. Hier hoffen die Angreifer, dass die Felder automatisch oder manuell von den Opfern befüllt werden, die glauben, dass sie sich erneut anmelden müssen.