Поделиться
Популярную бесплатную почту 9 лет подряд можно было взломать, прислав единственный документ в OpenOffice
Девятилетняя проблема почтового сервиса Horde Webmail может приводить к захвату почтовых ящиков. Система не в состоянии противостоять зараженным файлам в OpenOffice. Патча до сих пор нет.
XSS в Horde Webmail
Пользователей онлайн-сервиса электронной почты Horde Webmail рекомендуют принять меры к профилактике недавно выявленной, но очень старой уязвимости, которую никто не замечал девять лет. Для ее нейтрализации необходимо деактивировать одну из функций сервиса.
Horde Webmail — открытая, бесплатная служба электронной почты, работающая через браузер. Помимо обмена сообщениями, она позволяет работать с календарями (в том числе, коллективно), обмениваться контактами, задачами, заметками, файлами и закладками в браузере.
Выявленная уязвимость позволяет злоумышленнику получить полный доступ к содержимому аккаунта. Для этого достаточно заставить жертву открыть предварительный просмотр специально подготовленного приложения, говоря конкретнее — файла OpenOffice, заряженного вредоносным скриптом JavaScript.
По сути, речь идет о форме межсайтового скриптинга (XSS), когда вредоносный код внедряется прямо на сервер уязвимого веб-приложения, например, через поле комментария. В результате при каждом обращении непроверенный код загружается в браузер жертвы.
Поскольку при успешной атаке злоумышленнику становится доступно все содержимое почтового ящика, он имеет возможность развить атаку дальше. Если с помощью вредоносного документа OpenOffice удается скомпрометировать аккаунт администратора какого-либо другого ресурса, злоумышленник может получить контроль и над ним.
Девять лет
Уязвимость появилась в результате обновления программного кода Horde Webmail 30 ноября 2012 г. То есть, на наличие этого бага никто не обращал внимания более девяти лет.
«Подобные ошибки встречались и в других почтовых сервисах в прошлом; интересно, впрочем, что в данном случае используется вредоносный код, заложенный в документы OpenOffice, а не Microsoft Office, например, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Очень странно, что уязвимость не могли выявить девять лет. Другое дело, что о ней могли знать злоумышленники и активно использовать. Этому никаких подтверждений нет, как нет и обратному».
Эксперт отметила, что речь идет об уязвимости именно в Horde Webmail, а не в OpenOffice. Разработчиков уведомили о проблеме 26 августа 2021 года; она была подтверждена, но никаких обновлений для ее устранения до сих пор не появилось.
Пока что пользователям Horde Webmail рекомендовано отключить предпросмотр файлов OpenOffice во вложениях. Для этого нужно зайти в файл config/mime_drivers.php и задать параметр 'disable' — true в строчке, относящейся к обработке OpenOffice.
Короткая ссылка
