Ein neuer Zimbra Zero-Day-Exploit wurde in gezielten Angriffen weltweit eingesetzt. Hacker nutzten manipulierte iCalendar-Dateien, um JavaScript einzuschleusen, Anmeldeinformationen zu stehlen und auf die E-Mails der Opfer zuzugreifen. Die Schwachstelle ermöglichte die Ausführung von Remote-Code in aktiven Webmail-Sitzungen und gab Angreifern die vollständige Kontrolle über kompromittierte Konten.
Wie der Zimbra Zero-Day-Exploit funktionierte
Forscher identifizierten die Schwachstelle als CVE-2025-27915, eine Cross-Site-Scripting-Lücke in der Zimbra Collaboration Suite. Der Fehler betraf die Versionen 9.0, 10.0 und 10.1.
Hacker betteten schädlichen JavaScript-Code in .ICS-Kalenderdateien ein. Wenn Benutzer diese Dateien importierten oder anzeigten, führte Zimbra das Skript ohne Überprüfung aus. Dadurch erhielten Angreifer Zugriff auf Sitzungstoken, E-Mails und Benutzeranmeldeinformationen.
Das eingeschleuste JavaScript lief direkt im Postfach des Opfers. Es konnte E-Mail-Filter ändern, Nachrichten weiterleiten oder Daten stillschweigend an von den Angreifern kontrollierte Server kopieren. In einigen Fällen überwachte das Skript Benutzeraktivitäten und exfiltrierte Daten in Echtzeit.
Angriffskampagne und Entdeckung
Die Kampagne begann Anfang Januar 2025 und richtete sich hauptsächlich gegen Regierungs- und Militäreinrichtungen. Ein bestätigter Angriff gab sich als das Protokollbüro der libyschen Marine aus und traf ein brasilianisches Militärnetzwerk.
Das Cybersicherheitsunternehmen StrikeReady entdeckte den Zero-Day-Exploit bei der Analyse großer .ICS-Anhänge mit verschleiertem JavaScript. Die Forscher berichteten, dass diese Kalenderdateien über 10 KB groß waren und verschlüsselte Nutzlasten in Ereignisbeschreibungen enthielten.
Der Exploit wurde eingesetzt, bevor Zimbra einen Patch veröffentlichen konnte, was ihn zu einem echten Zero-Day machte. Das Unternehmen behob die Schwachstelle am 27. Januar und veröffentlichte die Versionen ZCS 9.0.0 P44, 10.0.13 und 10.1.5.
Auswirkungen und Attribution
Der Zimbra Zero-Day-Exploit ermöglichte es Angreifern, folgende Daten zu stehlen:
- Benutzernamen und Passwörter
- Vollständige E-Mail-Inhalte
- Kontaktlisten und Verteilergruppen
- Konfigurationsdaten und Authentifizierungs-Cookies
Forscher stellten Ähnlichkeiten zu Kampagnen fest, die mit belarussischen und russischen Bedrohungsakteuren in Verbindung stehen, obwohl die Zuordnung noch nicht bestätigt ist. Die Verwendung von Social Engineering und staatlich inspirierten Ködern deutet auf eine staatlich unterstützte Operation hin.
So schützen Sie Zimbra-Benutzer
- Patches sofort installieren. Aktualisieren Sie auf ZCS 9.0.0 P44, 10.0.13 oder 10.1.5.
- Verdächtige
.ICS-Dateien blockieren. Markieren Sie Kalenderanhänge, die größer als 10 KB sind oder HTML bzw. JavaScript enthalten. - E-Mail-Regeln überwachen. Prüfen Sie auf neue Filter oder Weiterleitungen, die ohne Genehmigung erstellt wurden.
- API-Protokolle überprüfen. Beschränken Sie den SOAP-API-Zugriff auf verifizierte Systeme.
- Benutzer schulen. Warnen Sie Mitarbeiter vor unerwarteten Kalendereinladungen oder Besprechungsanfragen.
Fazit
Der Zimbra Zero-Day-Exploit zeigt, dass selbst scheinbar harmlose Dateiformate komplexe Angriffe verbergen können. Durch das Einbetten von JavaScript in iCalendar-Dateien konnten Hacker traditionelle Sicherheitsmechanismen umgehen und sensible Daten direkt aus Postfächern stehlen.
Regelmäßige Patches, Überwachung und Benutzeraufklärung bleiben entscheidend, um zukünftige Angriffe zu verhindern.
0 Kommentare zu „Zimbra Zero-Day-Exploit nutzt iCalendar-Dateien, um E-Mails und Zugangsdaten zu stehlen“