Im Open-Source-Client Horde Webmail wurde eine neue, ungepatchte Sicherheitslücke entdeckt, die ausgenutzt werden kann, um Remotecode auf dem E-Mail-Server auszuführen, indem eine speziell gestaltete E-Mail an ein Opfer gesendet wird.
„Sobald die E-Mail angesehen wird, kann der Angreifer den gesamten Mailserver ohne weitere Benutzerinteraktion übernehmen“, so SonarSource in einem Bericht, der The Hacker News vorliegt. „Die Schwachstelle befindet sich in der Standardkonfiguration und kann ohne Kenntnis der betroffenen Horde-Instanz ausgenutzt werden.
Die Schwachstelle mit der CVE-Kennung CVE-2022-30287 wurde am 2. Februar 2022 an den Hersteller gemeldet. Die Betreuer des Horde-Projekts haben nicht sofort auf eine Anfrage nach einem Kommentar zu der ungelösten Sicherheitslücke geantwortet.
Im Kern ermöglicht es die Schwachstelle einem authentifizierten Benutzer einer Horde-Instanz, bösartigen Code auf dem zugrunde liegenden Server auszuführen, indem er eine Eigenheit im Umgang des Clients mit Kontaktlisten ausnutzt.
Dies kann dann in Verbindung mit einem CSRF-Angriff (Cross-Site Request Forgery) genutzt werden, um die Codeausführung aus der Ferne auszulösen.
CSRF, auch Session Riding genannt, passiert, wenn ein Webbrowser dazu verleitet wird, eine bösartige Aktion in einer Anwendung auszuführen, bei der ein Benutzer angemeldet ist. Er nutzt das Vertrauen aus, das eine Webanwendung in einen authentifizierten Benutzer hat.
„So kann ein Angreifer eine bösartige E-Mail erstellen und ein externes Bild einfügen, das beim Rendern die CSRF-Schwachstelle ohne weitere Interaktion des Opfers ausnutzt: Die einzige Voraussetzung ist, dass das Opfer die bösartige E-Mail öffnet.
Die Enthüllung kommt etwas mehr als drei Monate nach dem Bekanntwerden eines anderen, neun Jahre alten Fehlers in der Software, der es einem Angreifer ermöglichen konnte, durch die Vorschau eines Anhangs vollständigen Zugang zu E-Mail-Konten zu erhalten. Dieses Problem wurde inzwischen am 2. März 2022 behoben.
Angesichts der Tatsache, dass Horde Webmail seit 2017 nicht mehr aktiv gewartet wird und Dutzende von Sicherheitslücken in der Produktivitätssuite gemeldet wurden, wird den Nutzer/innen empfohlen, auf einen alternativen Dienst umzusteigen.
„Da Webmail-Servern so viel Vertrauen entgegengebracht wird, sind sie natürlich ein hochinteressantes Ziel für Angreifer“, so die Forscher.
„Wenn ein raffinierter Angreifer einen Webmail-Server kompromittieren kann, kann er jede gesendete und empfangene E-Mail abfangen, auf Links zum Zurücksetzen von Passwörtern und auf sensible Dokumente zugreifen, sich als Mitarbeiter ausgeben und alle Anmeldedaten von Benutzern stehlen, die sich bei dem Webmail-Dienst anmelden.