# AN0850 — Analytic 0850 ## Descrição Esta analítica detecta a exploração de vulnerabilidade de sistema ou aplicação (por exemplo, exploit baseado em CVE) seguida de crash de serviço, reinicialização ou falha repetida dentro de um curto espaço de tempo, impactando a disponibilidade da aplicação ou sistema. A telemetria utilizada inclui logs de eventos de aplicação do Windows (Event ID 1000, 1001) para Application Error e Windows Error Reporting, além de logs do Sysmon para correlacionar tráfego de entrada com crashes subsequentes. Esta detecção é importante para identificar tentativas de exploração ativa em ambientes Windows, incluindo exploits de CVEs críticos recentemente divulgados que causam instabilidade de serviço antes de atingir execução de código bem-sucedida. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1203-exploitation-for-client-execution|T1203 — Exploitation for Client Execution]] --- *Fonte: [MITRE ATT&CK — AN0850](https://attack.mitre.org/detectionstrategies/DET0304#AN0850)*