Ein Patch-Hinweis, der sich wie ein Countdown liest

Die Meldung von Zimbra war kurz und konkret. Wer den Classic Web Client in Zimbra Collaboration betreibt, sollte auf Release 10.1.19 wechseln, und zwar bald. Das Unternehmen stufte die Lücke als kritisch ein, das stärkste Wort, das es verwendet, und überließ die Begründung weitgehend dem Leser.

Für einen Administrator, der diesen Hinweis an einem Montagmorgen öffnet, ist die Bedeutung klar. Eine Mail-Plattform, die im Zentrum einer Organisation steht, hat ein Loch in genau dem Teil, der Nachrichten darstellt, und die Uhr für die Behebung läuft bereits.

Was die Lücke tatsächlich anrichtet

Der Fehler ist eine Stored-Cross-Site-Scripting-Lücke. Ein Angreifer verschickt eine speziell präparierte E-Mail, und sobald der Empfänger sie im Classic Web Client öffnet, führt der vom Angreifer kontrollierte Code in der Browser-Sitzung aus, statt reiner Text zu bleiben. Von dort aus kann er Sitzungsdaten, Kontoeinstellungen und Postfachinhalte lesen.

Außer dem Öffnen der Nachricht ist kein Klick auf einen Link nötig, und es muss keine Schadsoftware installiert werden. Das Opfer liest schlicht seine E-Mail. Zimbra hat das Problem in 10.1.19 behoben, und eine CVE-Kennung wurde noch nicht vergeben, was in den ersten Tagen nach einem Hersteller-Patch üblich ist.

Warum Googles Handschrift die Uhr neu stellt

Das Detail, das die Dringlichkeit ändern sollte, ist die Frage, wer die Lücke gemeldet hat. Es war Googles Threat Analysis Group, die Einheit, die staatlich gestützte Einbrüche und Angriffe auf besonders gefährdete Nutzer verfolgt. TAG bringt selten Routinefehler ans Licht, sodass ihre Beteiligung auf eine Lücke mit plausiblem Spionagewert hindeutet.

Zimbra hat hier eine lange Vorgeschichte. Staatsnahe Gruppen wie APT28, APT29 und Winter Vivern haben frühere Zimbra-Lücken gegen Regierungs-, Militär- und Diplomatenpostfächer sowie gegen ukrainische Ziele eingesetzt, oft binnen Wochen nach der Veröffentlichung. Diese Lücke gilt noch nicht als aktiv ausgenutzt, doch diese Geschichte erklärt, warum die Spanne zwischen Patch und Angriff meist kurz ausfällt.

Der Classic Client ist die gesamte Angriffsfläche

Betroffen ist nur der Classic Web Client, auch Classic UI genannt. Die neuere Oberfläche ist nicht das Ziel. Das klingt nach einer Eingrenzung des Risikos, und in einem Sinn ist es das auch, doch es verbirgt eine Falle: Viele Organisationen ließen den Classic Client eingeschaltet, damit langjährige Nutzer ihr vertrautes Layout behalten konnten.

Dieser Alt-Schalter ist jetzt die Angriffsfläche. Vor dem Patchen lautet die ehrliche Frage für einen Betreiber nicht, ob Zimbra im Einsatz ist, sondern wer in der Organisation noch auf der Classic-Oberfläche landet, denn genau diese Konten würde eine präparierte E-Mail zuerst erreichen.

Was zu tun ist, bevor der Exploit-Code eintrifft

Die direkte Lösung ist das Update auf ZCS 10.1.19. Wo ein sofortiges Update nicht möglich ist, entfernt das Deaktivieren des Classic Web Client die exponierte Fläche, bis sich die Aktualisierung einplanen lässt, und unaufgeforderte Post an Webmail-Nutzer als erhöhtes Risiko zu behandeln verschafft etwas Spielraum.

Europäische Behörden und Telekommunikationsbetreiber machen einen großen Teil von Zimbras Installationsbasis aus, und sie sind zugleich das Profil, auf das staatliche Akteure schon früher zielten. Für sie ist die Reihenfolge einfach: jetzt patchen, bestätigen, dass der Classic Client weg ist, dann die Protokolle auf alles prüfen, was vor der Behebung eintraf.