![Tech Spotlight > Cloud [CW] > Conceptual image of cloud-based email deployment.](https://www.illicit-trade.com/wp-content/uploads/2025/05/Les-alternatives-a-Microsoft-Outlook-Webmail-sont-attaquees-en-Europe.jpeg)
Les attaques soupçonnées de Russe XSS contre les organisations exécutant le cube ronde, la Horde, le Mdaemon et le Zimbra.
Les CISO doivent s’assurer que les clients et les navigateurs de courriels Web sont tenus à jour après la découverte d’attaques de scripts de sites croisés contre des organisations exécutant des clients Webmail tels que Roundcube, Horde, Mdaemon et Zimbra.
L’alerte est venue aujourd’hui de chercheurs de ESET, qui, après avoir vu des attaques contre le gouvernement et les organisations de défense en Ukraine, en Roumanie et en Bulgarie, croient qu’un acteur de menace russe cherche des entités qui soutiennent l’Ukraine.
L’objectif est de voler des informations d’identification et de contacts exfiltrés et des e-mails de la boîte aux lettres de la victime. De nombreuses entreprises ciblées produisent des armes de l’ère soviétique.
Les attaques de phishing de lance conduisent à l’exécution du code JavaScript malveillant dans le client de la messagerie Web, donc tout ce qui est dans le compte de la victime peut être lu et exfiltré.
Le logiciel malveillant dépose également des implants appelés spypress.horde, spypress.mdaemon, spypress.roundcube et spypress.zimbra (selon le système de messagerie de la victime) qui peut voler des informations d’identification de connexion, des livres d’adresses exfiltrates, des contacts et de l’histoire de la connexion. Spypress.mdaemon est capable de configurer une contournement pour la protection d’authentification à deux facteurs; Il exfiltre le secret d’authentification à deux facteurs et crée un mot de passe d’application, qui permet aux attaquants d’accéder à la boîte aux lettres à partir d’une application de messagerie.
Le malware est adapté pour échapper aux filtres de spam.
Parmi les gros titres utilisés dans les messages de phishing de lance figuraient: «SBU (Ukraine’s Security Service) a arrêté un banquier qui a travaillé pour les renseignements militaires ennemis à Kharkiv» et «Poutine cherche l’acceptation par Trump des conditions russes dans les relations bilatérales».
Bien que la plupart des victimes soient des entités gouvernementales et des entreprises de défense en Europe de l’Est, les chercheurs ont vu des employés du gouvernement dans d’autres régions d’Europe, d’Afrique et d’Amérique du Sud également.
L’acteur de menace présumé est surnommé Sednit par ESET et est mieux connu de la communauté de sécurité comme Fancy Bear ou APT28.
ESET appelle l’opération de campagne RoundPress. Il exploite les systèmes de cube ronde non corrigé pour une vulnérabilité, CVE-2023-43770, explique le chercheur de l’ESET Matthieu Faou. La vulnérabilité Mdaemon, CVE-2024-11182, maintenant corrigée, était une journée zéro, a-t-il ajouté, tandis que celles de Horde, Roundcube et Zimbra étaient déjà connues et corrigées.
Enfin et surtout, l’accès à un client donne accès à l’envoi d’e-mails, ce qui pourrait conduire à un compromis de comptes adjacents, tels que des personnes qui peuvent être influencées par l’expéditeur. »
L’utilisation d’un client de messagerie leader tel que Microsoft Outlook n’élimine pas tous les risques autour de l’application, a-t-il ajouté, mais propose simplement un environnement de développement plus structuré et éventuellement sécurisé.
D’un autre côté, a-t-il dit, les plus petits clients de messagerie peuvent offrir une meilleure confidentialité et peuvent être moins encombrants en termes de fonctionnalités, mais ils pourraient également être moins fonctionnels et introduire un risque d’augmentation de vulnérabilité de sécurité car leurs équipes de développement sont généralement plus petites et utilisent des outils moins sophistiqués pour assurer l’assurance autour de la sécurité.
Une considération pour les CISO, a-t-il ajouté: Beaucoup de ces petits clients commerciaux ou open source ne collectent pas d’informations personnelles, ce qui les rend plus orientés vers la confidentialité.
« En termes de cette vulnérabilité spécifique », a déclaré Dubrovsky, « nous devons nous rappeler que les clients de messagerie ne sont pas des contrôles de sécurité, et quel que soit le type de client, il faut des contrôles supplémentaires au point de terminaison pour fournir des couches supplémentaires de sécurité. »
Il recommande que les CISO évaluent leurs fournisseurs de courriels, en particulier au niveau de l’entreprise où des programmes de gestion des fournisseurs existent, pour une ajustement dans la couche de sécurité. « Une fois une décision prise, il est important de comprendre comment le développeur abordera les vulnérabilités et la rapidité avec laquelle les correctifs seront mis à disposition pour le déploiement », a-t-il ajouté.
Enfin, a-t-il dit, assurez-vous que la sécurité multicouche robuste entoure ces applications, étant donné la nature sensible des données qu’ils contiennent et les risques possibles des parties extérieures.
« Au cours des deux dernières années, les serveurs de la messagerie Web tels que Roundcube et Zimbra ont été une cible majeure pour plusieurs groupes d’espionnage tels que Sednit, Greencube et Winter Vivern », a déclaré la FAOU de ESET. « Parce que de nombreuses organisations ne tiennent pas leurs serveurs Web à jour, et parce que les vulnérabilités peuvent être déclenchées à distance en envoyant un e-mail, il est très pratique pour les attaquants de cibler ces serveurs pour le vol d’e-mail. »
La chose la plus importante pour les CISO est de garder les applications de la messagerie Web à jour, a-t-il déclaré. «Alors que nous mentionnons dans nos recherches l’utilisation de vulnérabilités de jour zéro, dans la plupart des incidents que nous avons analysés, seules les vulnérabilités connues, qui avaient été corrigées pendant des mois, ont été utilisées. Une autre avenue durcissant, mais probablement trop extrême pour la plupart des organisations, est d’interdire le contenu HTML dans les e-mails, et d’afficher simplement du texte brut. hyperlien.
Webmail peut être décrit comme un site Web qui affiche du contenu HTML non fiable dans un navigateur, a-t-il déclaré. Alors que la plupart des systèmes WebMail désinfectent le contenu pour supprimer des éléments HTML nuisibles, qui pourraient exécuter du code JavaScript, les recherches d’Eset montrent que les désinfectants ne sont pas sans défauts et que les attaquants sont capables de les contourner. En conséquence, a-t-il dit, en envoyant un e-mail spécialement conçu, les attaquants peuvent exécuter du code JavaScript arbitraire dans le contexte du navigateur de leur cible. Bien que cela ne conduit pas au compromis de l’ordinateur, il a souligné, exécutant le code JavaScript dans le contexte du navigateur permet de voler des informations dans la boîte aux lettres, par exemple les e-mails ou la liste des contacts.
