# CVE-2008-4250 > [!high] MS08-067 - RCE no Windows RPC - Vetor do Worm Conficker > Vulnerabilidade crítica de execução remota de código no serviço Server do Windows via RPC, explorada pelo worm **Conficker** (Downadup) para se propagar automaticamente em redes, infectando mais de 10 milhões de sistemas globalmente. ## Visão Geral A [[cve-2008-4250|CVE-2008-4250]] (conhecida pelo patch MS08-067) é uma vulnerabilidade no serviço Server do Windows que processa requisições RPC (Remote Procedure Call). Um atacante pode enviar uma requisição RPC especialmente criada para executar código arbitrário remotamente e sem autenticação no sistema vulnerável — com propagação automática em redes. Esta CVE ficou mundialmente conhecida por ser o vetor principal do worm **Conficker** (também chamado Downadup ou Kido), que se tornou a maior infestação de malware dos anos 2000. O Conficker infectou estimados 10-15 milhões de sistemas em todo o mundo, inclusive sistemas críticos em hospitais, forças armadas e infraestrutura governamental. Apesar de datar de 2008, esta CVE permanece relevante porque: (1) sistemas Windows XP e Server 2003 legados ainda existem em infraestrutura industrial e hospitalar; (2) é frequentemente encontrada em análises forenses de incidentes históricos; (3) representa um marco na história do cibercrime e das defesas baseadas em patches emergênciais. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | Microsoft Windows Server Service (RPC) | | Tipo | Buffer Overflow / RCE sem autenticação | | Porta | 445 (SMB/RPC) | | Propagação | Autônoma (worm) via rede local e internet | | Worm Associado | Conficker (Downadup) | | CVSS Base | 10.0 (MÁXIMO) | ## Impacto Histórico do Conficker O worm Conficker que explorou esta CVE é historicamente notável: - Infectou ~10 milhões de sistemas em mais de 200 países - Criou uma das maiores botnets já registradas - Afetou sistemas do Ministério da Defesa do Reino Unido, hospitais alemães, sistema de TI do parlamento francês - O "Conficker Working Group" foi formado específicamente para coordenar a resposta global - Variantes do Conficker continuaram sendo detectadas por mais de uma década após o patch ## TTPs Relacionados - [[t1210-exploitation-of-remote-services|T1210]] - Exploração de Serviços Remotos - [[t1021-002-smb-windows-admin-shares|T1021.002]] - SMB/Windows Admin Shares - [[t1583-003-botnets|T1583.003]] - Botnets - [[t1059-001-powershell|T1059]] - Interpretador de Comandos ## Lições para Segurança Atual 1. **Patching emergêncial**: A Microsoft emitiu patch fora do ciclo regular — indicador de gravidade extrema 2. **Segmentação de rede**: Conficker se propagou por redes sem segmentação 3. **Sistemas legados**: XP/Server 2003 sem suporte ainda são encontrados em ICS/SCADA 4. **Monitoramento de porta 445**: Bloqueio ou monitoramento de SMB é medida de higiene básica > [!latam] Relevância para Brasil e LATAM > O Conficker afetou desproporcionalmente países com alta prevalência de Windows não licenciado e sistemas sem atualização automática — perfil historicamente presente em partes da América Latina. Em 2008, o Brasil figurou entre os países com maior número de infecções confirmadas. Sistemas industriais e hospitalares legados rodando Windows XP/Server 2003 na região podem ainda carregar esta CVE sem patch, representando risco em ambientes ICS/OT. ## Referências - [Microsoft Security Bulletin MS08-067](https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2008/ms08-067) - [Symantec - Conficker analysis](https://www.symantec.com/connect/blogs/w32downadup-and-w32downadupc-worm-analysis) - [NVD - CVE-2008-4250](https://nvd.nist.gov/vuln/detail/CVE-2008-4250)