Hack Alerta

Zimbra: exploração via arquivos .ics atingiu alvos no Brasil com zero-day CVE-2025-27915

Por Redação Hack Alerta Publicado em 11/11/2025 12:02 Riscos e Ameaças Tempo de leitura: 4 min

Uma exploração zero-day em Zimbra (CVE-2025-27915) usada via arquivos .ics permitiu execução de JavaScript ofuscado e exfiltração, com campanhas detectadas em janeiro de 2025 mirando organizações militares brasileiras; o caso ilustra a evolução de .ics como vetor que contorna SEGs e persiste nos calendários.

Ataques que usam convites de calendário (.ics) evoluíram para vetores capazes de executar código e roubar credenciais; uma exploração zero-day em Zimbra (CVE-2025-27915) foi usada contra organizações militares brasileiras antes de correção.

Panorama e descoberta

Pesquisas públicas e relatórios reunidos mostram que, em 2025, atores maliciosos passaram a weaponizar o formato iCalendar (arquivos .ics) para driblar defesas de e-mail e atingir alvos de alto valor. O caso mais sofisticado documentado envolveu exploração de uma falha de sanitização em Zimbra Collaboration Suite — registrada como CVE-2025-27915 — afetando versões 9.0 a 10.1 e usada em ataques contra organizações militares no Brasil.

Como a exploração funcionava (técnica)

A vulnerabilidade é uma stored XSS (cross-site scripting) decorrente de tratamento inadequado de HTML em .ics: o ataque abusava do evento HTML <details ontoggle> embutido em convites para executar JavaScript quando o convite era processado pelo cliente. Os arquivos .ics maliciosos continham payloads JavaScript grandes (cerca de 100KB) e ofuscados em base64; o código foi preparado para adotar várias técnicas de evasão, incluindo atraso de execução (60 segundos), um gate temporal de três dias e ocultação de elementos de UI para reduzir indícios visuais.

Impacto e alcance no Brasil

StrikeReady e outros pesquisadores detectaram a campanha em janeiro de 2025, antes do patch de Zimbra disponibilizado em 27 de janeiro de 2025. As evidências apontam que alvos incluíram organizações militares brasileiras, com convites forjados para parecerem originários do Escritório de Protocolo da Marinha da Líbia. O payload usava a API SOAP do Zimbra para vasculhar pastas de e-mail, exfiltrar conteúdo e estabelecer persistência por meio de filtros de encaminhamento — por exemplo, criando um filtro chamado “Correo” que redirecionava mensagens para contas controladas pelos atacantes.

Vetores e táticas observadas

  • Uso de campos .ics para embutir grandes blocos de JavaScript ofuscado.
  • Técnicas de evasão: atraso de execução, gates temporais e ocultação de UI.
  • Persistência via filtros de e‑mail e exfiltração periódica para domínio C2 (ffrk.net) a cada quatro horas.

Por que calendários são um problema

Relatórios correlacionados mostram que .ics é um formato texto/estruturado (RFC 5545) suportado por Outlook, Google Calendar e Apple iCal; campos como DESCRIPTION, LOCATION e ATTACH podem conter URLs ou anexos base64. Além disso, convites originados por serviços legítimos passam por checagens SPF/DKIM/DMARC e frequentemente são tratados como baixo risco por Secure Email Gateways, permitindo que eventos maliciosos sejam processados automaticamente e cheguem ao calendário do usuário mesmo quando o e-mail é quarentenado.

Mitigações práticas

Para reduzir a superfície exposta, as recomendações técnicas encontradas nas fontes incluem:

  • Aplicar imediatamente correções e hardening nos servidores de colaboração (no caso de Zimbra, atualizar para a versão corrigida disponibilizada em janeiro de 2025).
  • Configurar políticas de calendários corporativos para impedir criação automática de eventos externos (ex.: em Google Workspace, ajustar “Add invitations to my calendar” para “Known senders” ou similar).
  • Em Microsoft 365, definir AutomateProcessing como None via PowerShell e aplicar regras de quarentena para mensagens com .ics externas.
  • Implementar inspeção profunda de .ics em gateways de e-mail (verificar ATTACH, URLs e conteúdo base64) e soluções CDR quando possível.
  • Remoção automática de eventos durante a remediação de mensagens (funcionalidade documentada por fornecedores especializados).

Limites das informações

As fontes descrevem técnicas, amostras e alvos observados, mas não detalham número total de vítimas nem atribuição completa por identidade de ator (as TTPs foram comparadas a grupos de estado em alguns relatórios). As datas e pormenores da detecção e do patch estão documentados: campanha detectada em janeiro de 2025; patch Zimbra em 27/01/2025.

Relevância para defensores

O incidente ilustra que calendários corporativos deixam uma superfície persistente e pouco monitorada. Equipes de segurança devem atualizar regras de ingestão de eventos, revisar políticas de auto‑adição de convites e incluir .ics em ciclos de threat hunting e IR, especialmente para organizações com exposição a e‑mail árduo e altos requisitos de proteção (governo e forças armadas).

Baseado em publicação original de Cyber Security News
Tags: #ics #calendar #phishing #zimbra #brasil #google-calendar #exploit #security #email
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar