Une note de correctif qui se lit comme un compte à rebours

L'avis de Zimbra était bref et précis. Quiconque utilise le Classic Web Client dans Zimbra Collaboration devrait passer à la version 10.1.19, et sans tarder. L'entreprise a qualifié la faille de critique, le mot le plus fort qu'elle emploie, en laissant l'essentiel du raisonnement au lecteur.

Pour un administrateur qui ouvre cette note un lundi matin, le sens est clair. Une plateforme de messagerie placée au coeur d'une organisation présente un trou dans la partie même qui affiche les messages, et le compte à rebours de la correction a déjà commencé.

Ce que fait réellement la faille

Le défaut est un cross-site scripting stocké. Un attaquant envoie un courriel spécialement forgé et, lorsque le destinataire l'ouvre dans le Classic Web Client, le code contrôlé par l'attaquant s'exécute dans la session du navigateur au lieu de rester du texte inerte. De là, il peut lire les données de session, les paramètres du compte et le contenu de la boîte.

Aucun clic sur un lien n'est requis au-delà de l'ouverture du message, et il n'y a aucun logiciel malveillant à installer. La victime se contente de lire son courriel. Zimbra a corrigé le problème dans la 10.1.19 et aucun identifiant CVE n'a encore été attribué, ce qui est courant dans les premiers jours suivant un correctif de l'éditeur.

Pourquoi l'empreinte de Google remet le compteur à zéro

Le détail qui devrait changer l'urgence, c'est qui a signalé la faille. C'est le Threat Analysis Group de Google, l'unité qui suit les intrusions soutenues par des États et les attaques contre les utilisateurs à haut risque. TAG ne met pas d'ordinaire en lumière des défauts de routine, si bien que son implication signale une faille au potentiel d'espionnage crédible.

Zimbra a un long passé en la matière. Des groupes liés à des États comme APT28, APT29 et Winter Vivern ont transformé en armes d'anciennes failles de Zimbra contre des boîtes gouvernementales, militaires et diplomatiques, et contre des cibles ukrainiennes, souvent quelques semaines après la divulgation. Cette faille n'est pas encore signalée comme exploitée, mais ce passé explique pourquoi l'écart entre le correctif et l'exploitation tend à être court.

Le client Classic constitue toute l'exposition

Seul le Classic Web Client, aussi appelé Classic UI, est touché. L'interface plus récente n'est pas la cible. Cela ressemble à une réduction du risque, et en un sens c'en est une, mais elle cache un piège : beaucoup d'organisations ont laissé le client Classic activé pour que les utilisateurs de longue date conservent la disposition qu'ils connaissaient.

Cet interrupteur hérité est désormais la surface d'attaque. Avant d'appliquer le correctif, la vraie question pour un exploitant n'est pas de savoir si Zimbra est déployé, mais qui, dans l'organisation, atterrit encore sur l'interface Classic, car ce sont ces comptes qu'un courriel piégé atteindrait en premier.

Que faire avant l'arrivée du code d'exploitation

La solution directe est la mise à jour vers ZCS 10.1.19. Là où une mise à jour immédiate n'est pas possible, désactiver le Classic Web Client retire la surface exposée jusqu'à ce que la mise à jour puisse être planifiée, et traiter le courrier non sollicité adressé aux utilisateurs de webmail comme plus risqué offre un peu de marge.

Les organismes publics européens et les opérateurs de télécommunications forment une large part de la base installée de Zimbra, et ils sont aussi le profil que les acteurs étatiques ont déjà visé. Pour eux, l'ordre de priorité est simple : corriger maintenant, confirmer que le client Classic a disparu, puis vérifier les journaux pour tout ce qui est arrivé avant la correction.