Winter Vivern sfrutta vulnerabilità zero-day in Roundcube Webmail

da Redazione
0 commenti 1 minuti leggi


Winter Vivern, noto anche come TA473 e UAC-0114, è un collettivo avversario le cui obiettive coincidono con quelle di Bielorussia e Russia. Negli ultimi mesi, è stato attribuito ad attacchi contro Ucraina e Polonia, nonché entità governative in Europa e India. Il 11 ottobre 2023, è stato osservato che sfruttava una vulnerabilità zero-day nel software di posta elettronica Roundcube per estrarre messaggi di posta elettronica dagli account delle vittime.

Annunci

Dettagli sulla vulnerabilità e sulle tecniche di attacco

image 269
Winter Vivern sfrutta vulnerabilità zero-day in Roundcube Webmail 7

La nuova vulnerabilità di sicurezza in questione è la CVE-2023-5631, un difetto di cross-site scripting memorizzato che potrebbe permettere a un attaccante remoto di caricare codice JavaScript arbitrario. Una correzione è stata rilasciata il 14 ottobre 2023. Le catene di attacco del gruppo iniziano con un messaggio di phishing che incorpora un payload codificato in Base64 nel codice sorgente HTML che, a sua volta, decodifica in un’iniezione di JavaScript da un server remoto sfruttando la vulnerabilità XSS. Matthieu Faou, ricercatore di sicurezza di ESET, ha spiegato che, inviando un messaggio di posta elettronica appositamente creato, gli aggressori possono caricare codice JavaScript arbitrario nel contesto della finestra del browser dell’utente Roundcube.

Implicazioni e rischi

Il JavaScript di seconda fase (checkupdate.js) è un loader che facilita l’esecuzione di un payload JavaScript finale che permette all’attore minaccioso di esfiltrare messaggi di posta elettronica a un server di comando e controllo (C2). Nonostante la bassa sofisticazione del set di strumenti del gruppo, rappresenta una minaccia per i governi europei a causa della sua persistenza, della regolarità con cui lancia campagne di phishing e del fatto che un numero significativo di applicazioni accessibili da Internet non vengono regolarmente aggiornate nonostante siano note per contenere vulnerabilità.

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara