Uma nota de correção que se lê como uma contagem decrescente
O aviso do Zimbra foi curto e específico. Quem executa o Classic Web Client no Zimbra Collaboration deve passar para a versão 10.1.19, e depressa. A empresa classificou a falha como crítica, a palavra mais forte que usa, e deixou grande parte do raciocínio ao leitor.
Para um administrador que abre essa nota numa segunda-feira de manhã, o significado é claro. Uma plataforma de correio no centro de uma organização tem um buraco justamente na parte que apresenta as mensagens, e o relógio para a corrigir já está a contar.
O que a falha faz de facto
O erro é um cross-site scripting armazenado. Um atacante envia um email especialmente manipulado e, quando o destinatário o abre no Classic Web Client, o código controlado pelo atacante executa dentro da sessão do navegador em vez de ficar como texto inerte. A partir daí pode ler dados de sessão, definições da conta e o conteúdo da caixa de correio.
Não é preciso qualquer clique num link além de abrir a mensagem, e não há programa malicioso a instalar. A vítima limita-se a ler o seu email. O Zimbra corrigiu o problema na 10.1.19 e ainda não foi atribuído um identificador CVE, o que é comum nos primeiros dias após uma correção do fornecedor.
Porque a impressão digital da Google reinicia o relógio
O detalhe que deveria mudar a urgência é quem reportou a falha. Foi o Threat Analysis Group da Google, a unidade que segue intrusões apoiadas por Estados e ataques a utilizadores de alto risco. O TAG raramente traz a público erros de rotina, pelo que o seu envolvimento assinala uma falha com um uso de espionagem plausível.
O Zimbra tem um longo histórico aqui. Grupos ligados a Estados como APT28, APT29 e Winter Vivern transformaram em armas falhas anteriores do Zimbra contra caixas governamentais, militares e diplomáticas, e contra alvos ucranianos, muitas vezes poucas semanas após a divulgação. Esta falha ainda não consta como explorada, mas esse histórico explica por que o intervalo entre a correção e o ataque tende a ser curto.
O cliente Classic é toda a exposição
Só o Classic Web Client, também chamado Classic UI, está afetado. A interface mais recente não é o alvo. Isso soa a uma redução do risco, e num sentido é, mas esconde uma armadilha: muitas organizações deixaram o cliente Classic ligado para que os utilizadores de sempre mantivessem a disposição que conheciam.
Esse interruptor herdado é agora a superfície de ataque. Antes de aplicar a correção, a pergunta honesta para um operador não é se o Zimbra está implementado, mas quem dentro da organização ainda aterra na interface Classic, porque são essas as contas que um email manipulado alcançaria primeiro.
O que fazer antes de o código de exploração chegar
A solução direta é atualizar para ZCS 10.1.19. Onde uma atualização imediata não seja possível, desativar o Classic Web Client remove a superfície exposta até a atualização poder ser agendada, e tratar o correio não solicitado aos utilizadores de webmail como de maior risco dá alguma margem.
Os organismos públicos europeus e os operadores de telecomunicações representam uma grande parte da base instalada do Zimbra, e são também o perfil que os atores estatais já perseguiram antes. Para eles, a ordem de prioridade é simples: corrigir agora, confirmar que o cliente Classic desapareceu e depois verificar os registos por tudo o que chegou antes de a correção chegar.
Leia a seguir: Progress manda clientes ShareFile desligar tudo | Uma falha do Defender dá o controlo total do PC



