Willkommen |
|
|
|
myGully |
|
|
Links |
|
|
|
Forum |
|
|
|
|
27.10.23, 09:38
|
#1
|
|
das Muster ist das Muster
Registriert seit: Apr 2011
Ort: Schwarzwald
Beiträge: 2.883
Bedankt: 3.265
|
Gegen EU-Behörden: Prorussische Hacker nutzen Roundcube-Schwachstelle aus
Zitat:
Gegen EU-Behörden: Prorussische Hacker nutzen Roundcube-Schwachstelle aus
Eine Zero-Day-Schwachstelle erlaubt die Ausführung von Schadcode durch das bloße Betrachten einer präparierten E-Mail in Roundcube.
Sicherheitsforscher von Eset haben Cyberspionage-Aktivitäten einer prorussischen Hackergruppe namens Winter Vivern aufgedeckt, bei der die Angreifer eine Zero-Day-Schwachstelle in der Webmail-Software Roundcube ausgenutzt haben, um E-Mails von europäischen Regierungsbehörden abzugreifen. Entdeckt haben die Forscher die Ausnutzung der als CVE-2023-5631 registrierten XSS-Schwachstelle ihrem Bericht zufolge erstmals am 11. Oktober.
Nachdem Eset die Sicherheitslücke an das Roundcube-Team gemeldet hatte, stehen mit den Versionen 1.6.4 sowie 1.5.5 und 1.4.15 seit dem 16. Oktober entsprechende Sicherheitsupdates bereit. Frühere Versionen sind ungeschützt. Administratoren wird dringend empfohlen, ihre Systeme zu patchen.
Das Öffnen einer präparierten E-Mail reicht
Ausnutzen lässt sich CVE-2023-5631 wohl aus der Ferne durch das bloße Senden einer speziell gestalteten E-Mail an eine Zielperson. Die Mails, die Winter Vivern einsetzt, sehen jedoch keineswegs verdächtig aus und sind als einfache Willkommensnachrichten von Outlook getarnt, die nicht einmal zu einem Klick auffordern.
Letzteres ist aber wohl auch gar nicht nötig, denn der Schadcode ist versteckt und in einem SVG-Tag am Ende der Nachricht eingebettet. Er wird automatisch ausgeführt, sobald der Nutzer die E-Mail öffnet. "Außer dem Betrachten der Nachricht in einem Webbrowser ist keine manuelle Interaktion erforderlich", erklären die Forscher.
Daraufhin werde der Javas*****-Code des Angreifers im Kontext des Browser-Fensters des Roundcube-Benutzers ausgeführt. Dieser sei schließlich in der Lage, sämtliche E-Mails aus dem Account des angegriffenen Nutzers an einen von Winter Vivern kontrollierten Server zu übermitteln.
Winter Vivern ist wohl schon seit 2020 aktiv
Winter Vivern ist längst kein unbekannter Bedrohungsakteur. Die Gruppe wurde laut Eset erstmals im Jahr 2021 entdeckt, soll aber schon mindestens seit 2020 aktiv sein. Zu ihren Angriffszielen gehören üblicherweise Regierungsbehörden in Europa und Zentralasien. Zuletzt nahmen sie vermehrt Zimbra- und Roundcube-Server ins Visier.
Wie Bleeping Computer berichtet, stellten Sicherheitsforscher von Sentinel Labs in der Vergangenheit fest, dass sich die Ziele der Cyberspionagegruppe mit den Interessen der Regierungen von Belarus und Russland überschneiden. Auch die Ukraine gehört zu den bevorzugten Angriffszielen von Winter Vivern.
|
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:49 Uhr.
().
|
Baum-Darstellung