# T1203 - Exploração de Vulnerabilidades para Execução em Cliente ## Descrição Atacantes exploram vulnerabilidades em aplicações cliente para executar código arbitrário no sistema da vítima. Ao contrário da exploração de serviços voltados para a internet - onde o alvo é um servidor exposto -, essa técnica foca em softwares utilizados cotidianamente pelos usuários finais: navegadores web, suítes de escritório, leitores de PDF, players de mídia e outros aplicativos de produtividade. A premissa é simples: o usuário espera receber e abrir arquivos relacionados às ferramentas que usa no trabalho, tornando esses vetores altamente eficazes para ataques direcionados. A exploração pode ocorrer sem qualquer interação do usuário - como no caso de vulnerabilidades em navegadores acionadas apenas pela visita a uma página maliciosa - ou pode exigir que a vítima abra um documento ou clique em um link. Em ambos os cenários, o resultado é a execução de shellcode ou outro payload no contexto de processo da aplicação vulnerável, frequentemente contornando defesas perimetrais porque o tráfego parece legítimo. Grupos como [[g0032-lazarus-group|Lazarus Group]], [[g0007-apt28|APT28]] e [[g0034-sandworm|Sandworm Team]] usam extensivamente essa técnica em campanhas de spear-phishing altamente direcionadas, combinando documentos Office weaponizados com exploits de dia zero ou n-day para comprometer organizações de alto valor antes que patches sejam aplicados. **Contexto Brasil/LATAM:** No Brasil, a exploração de clientes é especialmente prevalente em campanhas contra o setor financeiro e governamental. Grupos de crime cibernético regionais frequentemente distribuem documentos Office maliciosos com exploits conhecidos aproveitando-se de taxas de atualização de software historicamente baixas em organizações públicas brasileiras. Campanhas de phishing explorando temas fiscais (Receita Federal, SEFAZ) e bancários são vetores recorrentes que entregam payloads via exploração de aplicações cliente. ## Attack Flow ```mermaid graph TB A[Entrega do exploit<br/>Phishing / Drive-by / Spearphishing] --> B[Abertura da aplicação cliente<br/>Navegador, Office, PDF Reader] B --> C[EXPLORAÇÃO DA VULNERABILIDADE<br/>T1203] C --> D[Execução de shellcode<br/>no contexto da aplicação] D --> E[Dropping de payload<br/>ou injeção em processo legítimo] E --> F[Estabelecimento de persistência<br/>e movimento lateral] ``` ## Como Funciona 1. **Preparação** - O atacante identifica uma vulnerabilidade na aplicação cliente alvo (zero-day ou n-day) e desenvolve ou adquire o exploit correspondente. O payload é empacotado em um documento, página web ou arquivo que a vítima tem motivação para abrir - frequentemente usando temas de engenharia social relevantes (fatura, ordem judicial, convocação, proposta comercial). 2. **Execução** - A vítima abre o arquivo ou visita a URL maliciosa. A vulnerabilidade é acionada - sejá automaticamente (browser exploits, vulnerabilidades de parsing) ou após interação mínima (habilitar macros, abrir anexo). O exploit aloca memória, contorna proteções como ASLR e DEP/NX, e executa shellcode no contexto do processo da aplicação comprometida. 3. **Pós-execução** - O shellcode geralmente baixa um stager ou executa diretamente um RAT/backdoor. O malware pode usar técnicas como [[t1055-process-injection|process injection]] para migrar para um processo mais estável, estabelecer persistência e iniciar reconhecimento interno. **Exemplo de artefato de detecção:** ```powershell # Processo filho suspeito gerado por aplicação Office - indicativo de exploit bem-sucedido # WINWORD.EXE → cmd.exe → powershell.exe -enc <base64> # Monitorar: ParentImage = WINWORD.EXE | Image = powershell.exe Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object { $_.Message -match 'WINWORD' -and $_.Message -match 'powershell' } ``` ## Detecção **Fontes de dados:** Logs de criação de processos (Sysmon Event ID 1, Windows Security 4688), telemetria EDR (chains de processos anômalas), logs de rede (downloads de payload pós-exploração), crash reports de aplicações (indicativo de exploits mal-sucedidos). ```yaml title: Suspicious Child Process Spawned by Office Application id: b7d2e4a1-9c33-4f8b-a61e-2d7f0e4c8b95 status: experimental description: Detecta processo filho suspeito originado de aplicação Microsoft Office, padrão típico de exploração via documento malicioso (T1203) logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\POWERPNT.EXE' - '\MSPUB.EXE' - '\MSACCESS.EXE' - '\AcroRd32.exe' - '\Acrobat.exe' selection_child: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\regsvr32.exe' - '\rundll32.exe' condition: selection_parent and selection_child falsepositives: - Macros legítimas aprovadas pela organização (devem ser documentadas e filtradas por hash) - Ferramentas de automação corporativa que invocam Office programaticamente level: high tags: - attack.execution - attack.t1203 - attack.initial_access ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1050-exploit-protection\|M1050 - Exploit Protection]] | Habilitar Windows Defender Exploit Guard (WDEG) com proteções como CFG (Control Flow Guard), SEHOP e Arbitrary Code Guard (ACG) para aplicações de alto risco. Configurar políticas de mitigação via `Set-ProcessMitigation` para WINWORD.EXE, EXCEL.EXE, chrome.exe e AcroRd32.exe. No Linux/macOS, utilizar AppArmor/SELinux e sandboxing de processos. | | [[m1051-update-software\|M1051 - Updaté Software]] | Manter todas as aplicações cliente atualizadas com patching emergêncial para CVEs críticos (CVSS ≥ 8.0). Priorizar navegadores, Microsoft Office e leitores de PDF. Estabelecer SLA de patching de 72 horas para vulnerabilidades com exploração ativa conhecida - especialmente aquelas em listas como a CISA KEV. | | [[m1048-application-isolation-and-sandboxing\|M1048 - Application Isolation and Sandboxing]] | Executar navegadores e leitores de documento em ambientes isolados (sandboxes, containers, VDI). Habilitar sandbox nativo do Chrome/Edge. Considerar soluções de isolamento de browser (RBI) para usuários de alto risco como executivos e equipes financeiras. No Microsoft 365, habilitar Application Guard para Word, Excel e PowerPoint. | ## Threat Actors que Usam - [[g0032-lazarus-group|Lazarus Group]] - [[g0007-apt28|APT28]] - [[g0034-sandworm|Sandworm Team]] - [[g0121-sidewinder|Sidewinder]] - [[g0138-andariel|Andariel]] - [[g0035-dragonfly|Dragonfly]] - [[g1011-exotic-lily|EXOTIC LILY]] - [[g1031-saint-bear|Saint Bear]] - [[g0027-threat-group-3390|Threat Group-3390]] - [[g0089-the-white-company|The White Company]] ## Software Associado - [[s0331-agent-tesla|Agent Tesla]] - [[s1207-xloader|XLoader]] - [[s0239-bankshot|Bankshot]] - [[s0458-ramsay|Ramsay]] - [[s0578-supernova|SUPERNOVA]] - [[s0341-xbash|Xbash]] ## Referências *Fonte: [MITRE ATT&CK - T1203](https://attack.mitre.org/techniques/T1203/)*