# CVE-2008-0015 - Execução Remota de Código no DirectShow (MPEG-2 / ActiveX) > [!danger] CVSS 9.3 - Stack Overflow com execução de código via ActiveX > Stack overflow no componente **DirectShow** do Windows ao processar streams MPEG-2 maliciosos via controle ActiveX. Exploração por drive-by download sem interação do usuário além de visitar uma página web. CISA KEV confirmado. ## Visão Geral **CVE-2008-0015** é uma vulnerabilidade crítica de **stack buffer overflow** no componente `msvidctl.dll` (Microsoft Video ActiveX Control) do Windows DirectShow, a infraestrutura de processamento de mídia da Microsoft presente em Windows XP, 2000 e Server 2003. A falha permite que um atacante execute código arbitrário no contexto do usuário ao induzir a vítima a visitar uma página web ou abrir um arquivo de mídia malicioso que explore o controle ActiveX vulnerável. A vulnerabilidade foi descoberta e amplamente explorada em 2008-2009, antes da disponibilização do patch oficial em julho de 2009 - um período de **mais de 6 meses de zero-day** durante o qual exploits drive-by foram amplamente distribuídos em kits de exploit da época (como MPack e Fragus). A exploit tornava-se ativada simplesmente ao visitar uma página web maliciosa no Internet Explorer com o controle ActiveX ativado, sem qualquer interação adicional do usuário. A inclusão no catálogo **CISA KEV** em 2022 - mais de 13 anos após a divulgação original - reflete a realidade de que sistemas Windows XP e Server 2003 legados permanecem operacionais em infraestruturas industriais, hospitalares e governamentais ao redor do mundo. Esta CVE é um lembrete crítico de que vulnerabilidades "antigas" continuam sendo vetores ativos de ataque quando os sistemas não são atualizados. ## Detalhes Técnicos A falha reside no controle ActiveX `Microsoft Video ActiveX Control` (`msvidctl.dll`), específicamente na funcionalidade de tuning de TV/mídia MPEG-2. O mecanismo de exploração: 1. **Vetor web:** a vítima visita uma página HTML maliciosa que instancia o controle ActiveX vulnerável via `<OBJECT classid="...">` no Internet Explorer 2. **Processamento de stream MPEG-2:** o controle processa dados MPEG-2 especialmente elaborados fornecidos pelo atacante 3. **Stack overflow:** os dados maliciosos causam overflow do buffer na pilha de execução do processo `iexplore.exe` 4. **Controle do EIP:** o atacante sobrescreve o ponteiro de instrução (EIP) para redirecionar a execução 5. **Shellcode:** código shellcode é executado no contexto do usuário atual no Internet Explorer **Características que tornavam a exploração trivial:** - Nenhuma interação além de carregar a página - zero cliques necessários - Exploração confiável em Windows XP com proteções padrão desabilitadas (DEP, ASLR inexistente em XP) - Kits de exploit amplamente disponíveis com módulo pré-construído - CLSID alvo: `{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}` ## Produtos Afetados | Vendor | Sistema Operacional | Componente | Status | |--------|---------------------|-----------|--------| | Microsoft | Windows XP SP2 | msvidctl.dll | Vulnerável | | Microsoft | Windows XP SP3 | msvidctl.dll | Vulnerável | | Microsoft | Windows 2000 SP4 | msvidctl.dll | Vulnerável | | Microsoft | Windows Server 2003 SP1 | msvidctl.dll | Vulnerável | | Microsoft | Windows Server 2003 SP2 | msvidctl.dll | Vulnerável | | Microsoft | Windows Vista | Não afetado | - | | Microsoft | Windows 7 | Não afetado | - | | Microsoft | Windows Server 2008 | Não afetado | - | **Observação:** Windows Vista e posteriores não são afetados pois o controle ActiveX vulnerável não está presente ou foi removido. ## Histórico de Exploração **Linha do tempo:** - **2008:** Pesquisadores identificam a vulnerabilidade no componente DirectShow/msvidctl - **Jan-Jun 2009:** Exploração ativa zero-day documentada; kits de exploit distribuem o módulo - **Julho 2009:** Microsoft lança patch via MS09-032 (Boletim de Segurança de julho de 2009) - **2022-03-28:** CISA adiciona ao catálogo KEV - indicando exploração contínua em sistemas legados não patcheados A longevidade desta CVE no CISA KEV (adicionada 13 anos após o patch) é um indicador inequívoco de que sistemas legados com Windows XP/Server 2003 continuam sendo explorados ativamente - especialmente em redes industriais (ICS/OT), hospitalares e em países com infraestrutura de TI mais limitada. **TTPs relacionadas:** - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - exploração via navegação web - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - execução via exploit de aplicação cliente - [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - execução de shellcode pós-exploração ## Mitigação **Patch oficial:** - Boletim: [MS09-032](https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-032) - Atualização: KB973346 - Data: 14 de julho de 2009 (Patch Tuesday) **Workarounds para sistemas que não podem ser patcheados:** 1. **Desabilitar o controle ActiveX via kill bit** no registro do Windows: - Chave: `HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}` - Valor: `Compatibility Flags` = `0x00000400` 2. **Desabilitar execução de ActiveX** nas zonas Internet e Intranet do Internet Explorer 3. **Migrar imediatamente** de Windows XP/2000/Server 2003 - sistemas sem suporte há mais de uma década 4. **Segmentar redes com sistemas legados** - isolar em VLANs sem acesso à internet 5. Monitorar via IDS/IPS para exploits do CLSID `{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}` > [!high] Sistemas Legados em Operação > A presença desta CVE no CISA KEV em 2022 indica que sistemas Windows XP/Server 2003 não patcheados ainda estão operacionais em redes reais. Se sua organização opera sistemas legados por restrições operacionais (equipamentos industriais, sistemas hospitalares), implemente imediatamente os workarounds de kill bit e segmentação de rede. ## Relevância LATAM/Brasil > [!latam] Impacto LATAM - Sistemas Legados Windows XP/Server 2003 > O Brasil e outros países da América Latina apresentam alta prevalência de sistemas legados Windows XP e Server 2003 em operação, especialmente em hospitais públicos, prefeituras, pequenas e médias empresas, e ambientes industriais (ICS/OT) como plantas de energia e manufatura. A presença desta CVE no CISA KEV em 2022 - anos após o fim do suporte da Microsoft - sinaliza exploração ativa em exatamente esses ambientes de difícil atualização. Organizações que operam com sistemas legados no Brasil devem considerar a aplicação dos workarounds de kill bit e a segmentação de rede como medidas imediatas, mesmo sem patch disponível para sistemas fora de suporte. O [[_microsoft|Microsoft]] Windows XP permanece operacional em ambientes legados críticos dos setores [[healthcare|saúde]], [[government]], e [[critical-infrastructure|infraestrutura crítica]] no Brasil. Redes industriais e hospitalares com sistemas não atualizados representam superfície de ataque relevante para esta CVE. ## Notas Relacionadas **Vendor:** [[_microsoft|Microsoft]] **CVEs Microsoft relacionadas:** [[cve-2008-4250|CVE-2008-4250]] · [[cve-2010-0249|CVE-2010-0249]] **TTPs:** [[t1189-drive-by-compromise|T1189]] · [[t1203-exploitation-for-client-execution|T1203]] · [[t1059-command-scripting-interpreter|T1059]] **Setores em risco:** [[healthcare|saúde]] · [[government]] · [[critical-infrastructure|infraestrutura crítica]] · [[manufacturing|manufatura]] ## Referências - [NVD - CVE-2008-0015](https://nvd.nist.gov/vuln/detail/CVE-2008-0015) - [Microsoft Security Bulletin MS09-032](https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-032) - [CISA KEV - CVE-2008-0015](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Microsoft KB973346](https://support.microsoft.com/en-us/topic/ms09-032-cumulative-security-update-of-activex-kill-bits-kb973346-5a3c4e22-aad0-6a3f-8de7-c9e3d29e21de)