Código HTML do Conteúdo

Post: Usuários do Zimbra são alvo de exploração de dia zero usando anexos do iCalendar - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div> <h2>Usu&aacute;rios do Zimbra s&atilde;o alvo de explora&ccedil;&atilde;o de dia zero usando anexos do iCalendar</h2> <h2>Os agentes de amea&ccedil;as exploraram um dia zero do Zimbra por meio do iCalendar malicioso (. ICS) usados para entregar ataques por meio de anexos de calend&aacute;rio.</h2> <p>Os pesquisadores do StrikeReady descobriram que os agentes de amea&ccedil;as exploraram a vulnerabilidade CVE-2025-27915 no Zimbra Collaboration Suite em ataques de dia zero usando o iCalendar malicioso (. ICS). Esses arquivos, usados para compartilhar dados de calend&aacute;rio, foram armados para fornecer cargas &uacute;teis de JavaScript aos sistemas visados no in&iacute;cio deste ano.</p> <p>CVE-2025-27915 &eacute; uma falha de XSS armazenada no Zimbra Collaboration Suite (vers&otilde;es 9.0&ndash;10.1) causada por limpeza inadequada de HTML em arquivos ICS. Quando as v&iacute;timas abrem um e-mail com uma entrada ICS maliciosa, o JavaScript &eacute; executado por meio de um <code></code> , permitindo que invasores sequestrem sess&otilde;es, definam redirecionamentos de e-mail e exfiltrem dados.</p> <p><em>&ldquo;No in&iacute;cio de 2025, um aparente remetente de<code>193.29.58.37</code>falsificou o Escrit&oacute;rio de Protocolo da Marinha da L&iacute;bia para enviar um exploit de dia zero no Collaboration Suite do Zimbra,<a href="https://nvd.nist.gov/vuln/detail/CVE-2025-27915" rel="noreferrer noopener" target="_blank">CVE-2025-27915</a>, visando as for&ccedil;as armadas do Brasil. Isso alavancou um arquivo malicioso . ICS, um arquivo popular<a href="https://en.wikipedia.org/wiki/ICalendar" rel="noreferrer noopener" target="_blank">formato de calend&aacute;rio</a>.&rdquo; l&ecirc; o <a href="https://strikeready.com/blog/0day-ics-attack-in-the-wild/" target="_blank">relat&oacute;rio</a> publicado pela StrikeReady.</em></p> <p>Os pesquisadores descobriram os ataques enquanto analisavam arquivos ICS maiores que 10 KB que continham JavaScript ofuscado incorporado.</p> <p>O script malicioso tem como alvo o Zimbra Webmail, roubando credenciais, e-mails, contatos e pastas compartilhadas. Ele exfiltra dados para ffrk.net e usa v&aacute;rias t&eacute;cnicas de evas&atilde;o; o c&oacute;digo malicioso atrasa sua execu&ccedil;&atilde;o em 60 segundos, limita a atividade a tr&ecirc;s dias, oculta pistas de interface do usu&aacute;rio e desconecta usu&aacute;rios inativos para roubar dados. Os pesquisadores tamb&eacute;m descobriram que o script &eacute; executado de forma ass&iacute;ncrona usando v&aacute;rias fun&ccedil;&otilde;es de Express&otilde;es de Fun&ccedil;&atilde;o Invocada (IIFEs).</p> <p>Abaixo est&atilde;o as fun&ccedil;&otilde;es suportadas pelo malware:</p> <ul> <li>Injeta campos de formul&aacute;rio ocultos para capturar nomes de usu&aacute;rio e senhas sem indicadores de interface do usu&aacute;rio vis&iacute;veis.</li> <li>Exfiltra credenciais inseridas em formul&aacute;rios de autentica&ccedil;&atilde;o.</li> <li>Rastreia a atividade de entrada (mouse/teclado) e, se o usu&aacute;rio ficar ocioso, encerra a sess&atilde;o para habilitar o roubo de dados.</li> <li>Consulta a API SOAP do Zimbra para enumerar pastas e receber mensagens de e-mail.</li> <li>Periodicamente (a cada ~4 horas) carrega o conte&uacute;do de e-mail capturado no servidor do invasor.</li> <li>Instala uma regra de encaminhamento de e-mail intitulada &ldquo;Correo&rdquo; que redireciona mensagens para um endere&ccedil;o ProtonMail.</li> <li>Re&uacute;ne artefatos de autentica&ccedil;&atilde;o e tokens de backup e os envia ao invasor.</li> <li>Extrai cat&aacute;logos de endere&ccedil;os, listas de distribui&ccedil;&atilde;o e itens de pastas compartilhadas.</li> <li>Atrasa sua carga &uacute;til em 60 segundos ap&oacute;s a inje&ccedil;&atilde;o para evitar a detec&ccedil;&atilde;o r&aacute;pida.</li> <li>Restringe a atividade total a uma janela operacional de tr&ecirc;s dias antes de exigir um per&iacute;odo de resfriamento.</li> <li>Obscurece ou remove elementos de interface para minimizar sinais visuais de comprometimento.</li> <li>Opera de forma ass&iacute;ncrona em v&aacute;rios blocos de c&oacute;digo independentes para fragmentar a execu&ccedil;&atilde;o e complicar a an&aacute;lise.</li> </ul> <p>O StrikeReady n&atilde;o conseguiu atribuir o ataque a um grupo espec&iacute;fico, mas apontou que apenas alguns atores com bons recursos t&ecirc;m a capacidade de realizar ataques de dia zero. Os pesquisadores observaram TTPs semelhantes aos vinculados ao grupo APT bielorrusso <a href="https://securityaffairs.com/126800/apt/unc1151-apt-ukraine.html" target="_blank">UNC1151</a>.</p> <p>Siga-me no Twitter:<a href="https://twitter.com/securityaffairs" target="_blank">@securityaffairs</a>e<a href="https://www.facebook.com/sec.affairs" target="_blank">Linkedin</a>e<a href="https://infosec.exchange/@securityaffairs" target="_blank">Mastodonte</a></p> <p><a href="http://www.linkedin.com/pub/pierluigi-paganini/b/742/559" target="_blank">PierluigiPaganini</a></p> <p>(<a href="http://securityaffairs.co/wordpress/" target="_blank">Assuntos de Seguran&ccedil;a</a>&ndash;hacking,Zimbra zero-day)</p> <hr> <hr> </div></div>