Una nota di patch che si legge come un conto alla rovescia
L'avviso di Zimbra è stato breve e preciso. Chi utilizza il Classic Web Client in Zimbra Collaboration dovrebbe passare alla versione 10.1.19, e farlo presto. L'azienda ha definito la falla critica, la parola più forte che usa, lasciando gran parte del ragionamento al lettore.
Per un amministratore che apre quella nota un lunedì mattina, il significato è chiaro. Una piattaforma di posta al centro di un'organizzazione ha un buco proprio nella parte che mostra i messaggi, e il tempo per rimediare sta già scorrendo.
Cosa fa davvero la falla
Il difetto è un cross-site scripting memorizzato. Un attaccante invia una email costruita apposta e, quando il destinatario la apre nel Classic Web Client, il codice controllato dall'attaccante viene eseguito dentro la sessione del browser invece di restare testo inerte. Da lì può leggere dati di sessione, impostazioni dell'account e contenuti della casella.
Oltre ad aprire il messaggio non serve alcun clic su un collegamento, e non c'è alcun programma malevolo da installare. La vittima si limita a leggere la propria posta. Zimbra ha corretto il problema nella 10.1.19 e non è ancora stato assegnato un identificativo CVE, cosa comune nei primi giorni dopo una patch del fornitore.
Perché l'impronta di Google rimette in moto l'orologio
Il dettaglio che dovrebbe cambiare l'urgenza è chi ha segnalato la falla. È stato il Threat Analysis Group di Google, l'unità che segue le intrusioni sostenute dagli Stati e gli attacchi agli utenti ad alto rischio. TAG di solito non porta alla luce difetti di routine, quindi il suo coinvolgimento indica una falla con un plausibile uso di spionaggio.
Zimbra ha un lungo precedente in questo. Gruppi legati agli Stati come APT28, APT29 e Winter Vivern hanno trasformato in armi falle precedenti di Zimbra contro caselle governative, militari e diplomatiche, e contro obiettivi ucraini, spesso poche settimane dopo la divulgazione. Questa falla non risulta ancora sfruttata attivamente, ma quella storia spiega perché l'intervallo tra patch e attacco tende a essere breve.
Il client Classic è tutta l'esposizione
È colpito solo il Classic Web Client, chiamato anche Classic UI. L'interfaccia più recente non è il bersaglio. Sembra una riduzione del rischio, e in un certo senso lo è, ma nasconde una trappola: molte organizzazioni hanno lasciato acceso il client Classic perché gli utenti di lunga data potessero mantenere la disposizione che conoscevano.
Quell'interruttore ereditato è ora la superficie d'attacco. Prima di applicare la patch, la domanda onesta per un operatore non è se Zimbra sia installato, ma chi nell'organizzazione atterra ancora sull'interfaccia Classic, perché sono quelli gli account che una email manipolata raggiungerebbe per primi.
Cosa fare prima che arrivi il codice dell'exploit
La soluzione diretta è aggiornare a ZCS 10.1.19. Dove un aggiornamento immediato non è possibile, disattivare il Classic Web Client rimuove la superficie esposta finché l'aggiornamento non può essere pianificato, e trattare come più rischiosa la posta non richiesta verso gli utenti webmail concede un po' di margine.
Gli enti pubblici europei e gli operatori di telecomunicazioni rappresentano una larga parte della base installata di Zimbra, e sono anche il profilo che gli attori statali hanno già preso di mira. Per loro l'ordine di priorità è semplice: applicare la patch ora, verificare che il client Classic sia sparito, poi controllare i log per qualsiasi cosa sia arrivata prima della correzione.
Da leggere ora: Progress: clienti ShareFile devono spegnere il server | Un difetto di Defender dà il pieno controllo del PC



