En rettelsesnote, der læses som en nedtælling

Zimbras meddelelse var kort og præcis. Alle, der kører Classic Web Client i Zimbra Collaboration, bør skifte til version 10.1.19, og gerne snart. Virksomheden betegnede fejlen som kritisk, det stærkeste ord den bruger, og overlod størstedelen af begrundelsen til læseren.

For en administrator, der åbner den note en mandag morgen, er meningen klar. En mailplatform, der står i centrum af en organisation, har et hul i netop den del, der viser beskederne, og uret for at rette det er allerede begyndt at tikke.

Hvad fejlen i virkeligheden gør

Fejlen er en gemt cross-site scripting-fejl. En angriber sender en særligt manipuleret e-mail, og når modtageren åbner den i Classic Web Client, afvikles den kode, angriberen styrer, inde i browsersessionen i stedet for at forblive harmløs tekst. Derfra kan den læse sessionsdata, kontoindstillinger og indholdet af postkassen.

Der kræves ingen klik på et link ud over selve det at åbne beskeden, og der skal ikke installeres nogen skadelig software. Offeret læser ganske enkelt sin e-mail. Zimbra rettede problemet i 10.1.19, og der er endnu ikke tildelt en CVE-kode, hvilket er almindeligt i de første dage efter en leverandørrettelse.

Hvorfor Googles fingeraftryk nulstiller uret

Detaljen, der bør ændre på, hvor meget det haster, er, hvem der meldte fejlen. Det var Googles Threat Analysis Group, den enhed der følger statsstøttede indbrud og angreb på særligt udsatte brugere. TAG bringer sjældent rutinefejl frem i lyset, så deres involvering peger på en fejl med en sandsynlig spionageværdi.

Zimbra har en lang forhistorie på dette område. Statstilknyttede grupper som APT28, APT29 og Winter Vivern har gjort tidligere Zimbra-fejl til våben mod postkasser hos regeringer, militær og diplomati og mod ukrainske mål, ofte inden for uger efter offentliggørelsen. Denne fejl er endnu ikke markeret som udnyttet i praksis, men netop den historie forklarer, hvorfor afstanden mellem rettelse og angreb som regel er kort.

Classic-klienten udgør hele eksponeringen

Kun Classic Web Client, også kaldet Classic UI, er ramt. Den nyere grænseflade er ikke målet. Det lyder som en indsnævring af risikoen, og på en måde er det også, men det skjuler en fælde: mange organisationer lod Classic-klienten stå tændt, så mangeårige brugere kunne beholde det layout, de kendte.

Den nedarvede indstilling er nu angrebsfladen. Før man retter, er det ærlige spørgsmål for en driftsansvarlig ikke, om Zimbra er taget i brug, men hvem i organisationen der stadig lander på Classic-grænsefladen, for det er de konti, en manipuleret e-mail ville nå først.

Hvad man skal gøre, før exploit-koden lander

Den direkte løsning er at opgradere til ZCS 10.1.19. Hvor en øjeblikkelig opgradering ikke er mulig, fjerner det at deaktivere Classic Web Client den udsatte flade, indtil opdateringen kan planlægges, og at behandle uopfordret post til webmail-brugere som en højere risiko giver lidt margen.

Europæiske offentlige myndigheder og teleoperatører udgør en stor del af Zimbras installerede base, og de er samtidig den profil, statslige aktører tidligere har gået efter. For dem er rækkefølgen enkel: ret nu, bekræft at Classic-klienten er væk, og gennemgå derefter loggene for alt, der nåede ind, før rettelsen gjorde.