{"id":19199,"date":"2022-02-21T12:01:54","date_gmt":"2022-02-21T15:01:54","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19199"},"modified":"2022-02-21T12:01:58","modified_gmt":"2022-02-21T15:01:58","slug":"hackers-exploraram-vulnerabilidade-0-day-na-plataforma-de-e-mail-zimbra","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/02\/basico\/hackers-exploraram-vulnerabilidade-0-day-na-plataforma-de-e-mail-zimbra\/","title":{"rendered":"Hackers exploraram vulnerabilidade 0-Day na plataforma de e-mail Zimbra"},"content":{"rendered":"\n<h1 class=\"story-title\"><span style=\"color: #000000;\"><span class=\"goog-text-highlight\">Hackers exploraram vulnerabilidade de 0-Day na plataforma de e-mail Zimbra para espionar usu\u00e1rios<\/span><\/span><\/h1>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span><span class=\"goog-text-highlight\">Um agente de amea\u00e7as, provavelmente de origem chinesa, est\u00e1 tentando ativamente explorar uma vulnerabilidade de 0-day na plataforma de e-mail de c\u00f3digo aberto Zimbra como parte de campanhas de spear phishing que come\u00e7aram em dezembro de 2021.<\/span><\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span><span class=\"\">A opera\u00e7\u00e3o de espionagem de codinome &#8221; <\/span><\/span><span><span class=\"\">EmailThief<\/span><\/span><span><span class=\"\"> &#8221; foi detalhada pela empresa de seguran\u00e7a cibern\u00e9tica Volexity em um relat\u00f3rio t\u00e9cnico publicado na quinta-feira, observando que a explora\u00e7\u00e3o bem-sucedida da vulnerabilidade de cross-site scripting (XSS) pode resultar na execu\u00e7\u00e3o de c\u00f3digo JavaScript arbitr\u00e1rio no contexto do sess\u00e3o Zimbra do usu\u00e1rio.<\/span><\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span><span class=\"goog-text-highlight\">A Volexity atribuiu as invas\u00f5es, que come\u00e7aram em 14 de dezembro de 2021, a um grupo de hackers anteriormente n\u00e3o documentado que est\u00e1 rastreando sob o apelido TEMP_HERETIC, com os ataques direcionados ao governo europeu e entidades de m\u00eddia. <\/span>O bug de 0-Day afeta a edi\u00e7\u00e3o de c\u00f3digo aberto mais recente do Zimbra rodando a <\/span><span>vers\u00e3o 8.8.15<\/span><span> .<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<div class=\"separator\" style=\"text-align: justify;\"><a href=\"https:\/\/thehackernews-com.translate.goog\/new-images\/img\/a\/AVvXsEgOiMkEwZbvqQCNxkbi2gW7wybvvnTzhaUlWYabXexNxhFnQz0_3khjTcC_P0g6041MhFtXMRuF7d-hafn_x02I3I1gv2mePMToZuCHOa0LJh5IZCFYOCIFK3LanYYD2AvXvPI8Ogp8eH2wvUx9WacRYQIb4CMr9PR5RuXSXsV44hDl8lmc_gIa8DKc?_x_tr_sl=auto&amp;_x_tr_tl=pt&amp;_x_tr_hl=pt\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" title=\"Vulnerabilidade na plataforma de e-mail Zimbra\" src=\"https:\/\/thehackernews.com\/new-images\/img\/a\/AVvXsEgOiMkEwZbvqQCNxkbi2gW7wybvvnTzhaUlWYabXexNxhFnQz0_3khjTcC_P0g6041MhFtXMRuF7d-hafn_x02I3I1gv2mePMToZuCHOa0LJh5IZCFYOCIFK3LanYYD2AvXvPI8Ogp8eH2wvUx9WacRYQIb4CMr9PR5RuXSXsV44hDl8lmc_gIa8DKc=s728-e1000\" alt=\"Vulnerabilidade na plataforma de e-mail Zimbra\" width=\"631\" height=\"357\" border=\"0\" data-original-height=\"412\" data-original-width=\"728\" \/><\/a><\/div>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span><span class=\"goog-text-highlight\">Acredita-se que os ataques tenham ocorrido em duas fases; <\/span>a primeira etapa visava o reconhecimento e distribui\u00e7\u00e3o de e-mails destinados a manter o controle se um alvo recebesse e abrisse as mensagens. No est\u00e1gio subsequente, v\u00e1rias ondas de mensagens de e-mail foram transmitidas para induzir os destinat\u00e1rios a clicar em um link malicioso.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>No total, 74 endere\u00e7os de e-mail \u00fanicos do outlook.com foram criados pelo invasor para enviar as missivas durante um per\u00edodo de duas semanas, entre as quais as mensagens de reconhecimento iniciais continham linhas de assunto gen\u00e9ricas que variavam de convites a leil\u00f5es de caridade a reembolsos de passagens a\u00e9reas.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>\u201cPara que o ataque seja bem-sucedido, o alvo teria que visitar o link do invasor enquanto estiver conectado ao cliente de webmail Zimbra a partir de um navegador da web\u201d, observaram Steven Adair e Thomas Lancaster. &#8220;O link em si, no entanto, pode ser iniciado a partir de um aplicativo para incluir um cliente robusto, como Thunderbird ou Outlook.&#8221;<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<div class=\"separator\" style=\"text-align: justify;\"><a href=\"https:\/\/thehackernews-com.translate.goog\/new-images\/img\/a\/AVvXsEiKxKAtDqDbX0GV5I0pMKeqkMopOSnLjcGfe0l4wS3vGYEKhezcGW_4Yb6uneudhwriRiXUHx8CkwJkKrot-vTGbSNvqwGff4DbnOjduJUvjpG-UMRCOD0oFlntuNg25zgoRzZpFo8s8-E3adkHjpWLbjCMfDwh5bDERv5uHOzeS3TpIcXHqFPjlOfZ?_x_tr_sl=auto&amp;_x_tr_tl=pt&amp;_x_tr_hl=pt\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" title=\"Vulnerabilidade na plataforma de e-mail Zimbra\" src=\"https:\/\/thehackernews.com\/new-images\/img\/a\/AVvXsEiKxKAtDqDbX0GV5I0pMKeqkMopOSnLjcGfe0l4wS3vGYEKhezcGW_4Yb6uneudhwriRiXUHx8CkwJkKrot-vTGbSNvqwGff4DbnOjduJUvjpG-UMRCOD0oFlntuNg25zgoRzZpFo8s8-E3adkHjpWLbjCMfDwh5bDERv5uHOzeS3TpIcXHqFPjlOfZ=s728-e1000\" alt=\"Vulnerabilidade na plataforma de e-mail Zimbra\" width=\"611\" height=\"339\" border=\"0\" data-original-height=\"404\" data-original-width=\"728\" \/><\/a><\/div>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span><span class=\"goog-text-highlight\">A falha n\u00e3o corrigida, caso seja armada, pode ser abusada para exfiltrar cookies para permitir acesso persistente a uma caixa de correio, enviar mensagens de phishing da conta de e-mail comprometida para ampliar a infec\u00e7\u00e3o e at\u00e9 facilitar o download de malware adicional.<\/span><\/span><\/p>\n<p style=\"text-align: justify;\"><span><span class=\"goog-text-highlight\">\u201cNenhuma das <\/span><\/span><a href=\"https:\/\/translate.google.com\/website?sl=auto&amp;tl=pt&amp;hl=pt&amp;u=https:\/\/github.com\/volexity\/threat-intel\/blob\/main\/2022\/2022-02-03%2520Operation%2520EmailThief\/indicators\/iocs.csv\" target=\"_blank\" rel=\"noopener\"><span><span class=\"goog-text-highlight\">i<\/span><\/span><\/a><span><span class=\"goog-text-highlight\">nfraestruturas identificadas <\/span><\/span><span><span class=\"goog-text-highlight\">corresponde exatamente \u00e0 infraestrutura usada por grupos de amea\u00e7as previamente classificados\u201d, disseram os pesquisadores. <\/span>&#8220;No entanto, com base na organiza\u00e7\u00e3o visada e indiv\u00edduos espec\u00edficos da organiza\u00e7\u00e3o alvo, e certo que os dados roubados n\u00e3o teriam valor financeiro, \u00e9 prov\u00e1vel que os ataques tenham sido realizados por um ator chin\u00eas do APT&#8221;.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>&#8220;Os usu\u00e1rios do Zimbra devem considerar a atualiza\u00e7\u00e3o para a <\/span><span>vers\u00e3o 9.0.0<\/span><span> , pois atualmente n\u00e3o h\u00e1 uma vers\u00e3o segura da 8.8.15&#8243;, acrescentou a empresa.<\/span><\/p>\n<p>\u00a0<\/p>\n<p>Este artigo \u00e9 uma tradu\u00e7\u00e3o de: <a href=\"https:\/\/thehackernews.com\/2022\/02\/hackers-exploited-0-day-vulnerability.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2022\/02\/hackers-exploited-0-day-vulnerability.html\u00a0<\/a>\u00a0 Autor: <span class=\"author\">Ravie Lakshmanan<\/span><\/p>\n\n\n\n\n","protected":false},"excerpt":{"rendered":"<p>Hackers exploraram vulnerabilidade de 0-Day na plataforma de e-mail Zimbra para espionar usu\u00e1rios \u00a0 Um agente de amea\u00e7as, provavelmente de origem chinesa, est\u00e1 tentando ativamente explorar uma vulnerabilidade de 0-day na plataforma de e-mail de c\u00f3digo aberto Zimbra como parte de campanhas de spear phishing que come\u00e7aram em dezembro de 2021. \u00a0 A opera\u00e7\u00e3o de [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":19200,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105,99],"tags":[],"class_list":["post-19199","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19199","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19199"}],"version-history":[{"count":3,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19199\/revisions"}],"predecessor-version":[{"id":19203,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19199\/revisions\/19203"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19200"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19199"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19199"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19199"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}