Webmail e sicurezza, cosa ci insegna l’ultima ondata di attacchi XSS

Ho letto il report di ESET che documenta una nuova campagna di attacchi mirati alle piattaforme di webmail, basati su vulnerabilità Cross-Site Scripting (XSS). La portata è significativa: centinaia di sistemi compromessi, utenze aziendali colpite, e attori molto ben organizzati dietro le quinte. A colpire è la semplicità dell’attacco e la sua efficacia, soprattutto quando la superficie esposta è proprio l’interfaccia web della posta elettronica.

Nel caso specifico, l’attacco sfrutta vulnerabilità XSS persistenti o riflessive per iniettare codice JavaScript direttamente all’interno della sessione utente. L’obiettivo è ottenere accesso alle email, sottrarre credenziali, intercettare sessioni attive o propagarsi all’interno di ambienti aziendali sfruttando la condivisione della piattaforma.

Questa ennesima campagna riporta al centro una questione spesso trascurata: è più sicuro usare un client email installato rispetto a una webmail? Da un punto di vista tecnico, la risposta è sì, per una serie di motivi fondamentali:

• Nessun motore JavaScript eseguibile: un client di posta locale non interpreta né esegue codice JavaScript incluso nei messaggi HTML. Laddove la webmail potrebbe visualizzare una mail malformata e attivare codice dannoso, il client la visualizza in forma neutra o semplificata.
• Rendering HTML più sicuro: i client di posta applicano restrizioni severe su immagini remote, CSS, e contenuti attivi. Questo limita fortemente le possibilità di attacco via HTML.
• Superficie d’attacco più ridotta: una webmail è, a tutti gli effetti, un’applicazione web esposta su Internet, con tutte le criticità legate al browser, ai plugin, ai cookie, e ai framework front-end. Un client locale comunica direttamente coi server mail via protocolli standard (IMAP/SMTP), senza esporre un’interfaccia complessa accessibile pubblicamente.
• Isolamento applicativo: il client risiede in un ambiente più controllato, soggetto ad aggiornamenti del sistema operativo, antivirus, firewall e policy locali. La webmail, invece, vive nel browser, condividendo memoria, sessioni e permessi con altri siti aperti.
• Gestione più sicura delle credenziali: nei client locali, le credenziali possono essere cifrate o integrate con password manager. Nelle webmail, spesso sono gestite tramite cookie e sessioni persistenti, più vulnerabili a furto via XSS.

In un contesto dove l’email continua a rappresentare uno dei vettori di attacco più sfruttati, la scelta dell’interfaccia può fare la differenza. Non si tratta di demonizzare la webmail – che resta utilissima in mobilità – ma di essere consapevoli dei suoi limiti architetturali. Dove è possibile, e soprattutto in ambienti ad alto rischio, preferire un client installato significa ridurre drasticamente la superficie d’attacco.

Link al report: https://www.eset.com/blog/en/business-topics/threat-landscape/webmail-services-are-under-a-barrage-of-xss-attacks-what-smbs-need-to-know/