# CVE-2024-27443 > [!medium] XSS no Zimbra Collaboration Suite - Roubo de Sessão via Email > Cross-Site Scripting (XSS) refletido no componente CalendarInvite do Zimbra permite que atacantes roubem tokens de sessão de usuários ao enviar convites de calendário maliciosos. O Zimbra é amplamente utilizado por governos, universidades e organizações do setor público em países em desenvolvimento, incluindo no Brasil e LATAM. ## Visão Geral [[cve-2024-27443|CVE-2024-27443]] é uma vulnerabilidade de Cross-Site Scripting (XSS) refletido no componente de processamento de convites de calendário do Zimbra Collaboration Suite. A falha permite que um atacante envie um convite de calendário especialmente crafted que, ao ser visualizado pela vítima no webmail Zimbra, executa JavaScript malicioso no contexto do navegador da vítima - podendo roubar cookies de sessão e comprometer a conta de email. O Zimbra é especialmente popular como alternativa de código aberto ao Microsoft Exchange em governos, universidades e organizações do setor público de países em desenvolvimento. No Brasil e LATAM, uma parcela significativa de órgãos governamentais estaduais e municipais, instituições de ensino e organizações não-governamentais utiliza Zimbra como servidor de email corporativo. A natureza do ataque - via convite de calendário aparentemente legítimo - torna-o difícil de detectar por usuários comuns e pode ser usado para comprometimento dirigido de funcionários de alto valor (executivos, funcionários com acesso a sistemas críticos) como parte de campanhas de spear-phishing. > [!latam] Relevância LATAM > Prefeituras, governos estaduais e instituições de ensino superior brasileiras que utilizam Zimbra como servidor de email devem aplicar o patch urgentemente. A facilidade de exploração via convite de calendário - sem necessidade de clique em link suspeito - torna este vetor especialmente insidioso. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Cross-Site Scripting Refletido (CWE-79) | | Componente | Zimbra CalendarInvite handler | | Vetor | Email com convite de calendário malicioso | | Pré-requisito | Vítima visualiza convite no webmail | | Impacto | Roubo de sessão, comprometimento de conta | ## TTPs Associadas - [[t1566-001-spearphishing-attachment|T1566.001]] - Convite de calendário como vetor de phishing - [[t1539-steal-web-session-cookie|T1539]] - Roubo de cookies de sessão Zimbra via XSS - [[t1185-browser-session-hijacking|T1185]] - Sequestro de sessão de navegador - [[t1114-001-local-email-collection|T1114.001]] - Acesso ao email após roubo de sessão ## Detecção e Defesa **Mitigação primária:** Atualizar Zimbra para versão 9.0.0 Patch 41 ou 10.0.9 ou superior. **Medidas adicionais:** - Implementar Content Security Policy (CSP) no servidor Zimbra - Configurar cookies de sessão com flags `HttpOnly` e `Secure` - Monitorar logins Zimbra de IPs incomuns ou geolocalização anômala **Mitigações estruturais:** - [[m1021-restrict-web-based-content|M1021]] - Content filtering em gateway de email - [[m1051-update-software|M1051]] - Manter Zimbra atualizado com patches de segurança - [[m1032-multi-factor-authentication|M1032]] - MFA no Zimbra webmail (disponível via plugin) ## Referências - [Zimbra Security Advisory ZCS-24-04](https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories) - [Proofpoint - Zimbra XSS exploitation](https://www.proofpoint.com/us/blog) - [Google TAG - Zimbra zero-days](https://blog.google/threat-analysis-group)