# CVE-2009-0556 - Execução Remota de Código no Microsoft PowerPoint > [!critical] CVSS 9.3 - CISA KEV - Exploração Ativa Confirmada > Vulnerabilidade de execução remota de código no Microsoft PowerPoint que permite controle total do sistema ao abrir um arquivo de apresentação malicioso. Amplamente explorada em campanhas de spear-phishing contra alvos governamentais e corporativos. ## Visão Geral CVE-2009-0556 é uma vulnerabilidade crítica de execução remota de código (RCE) presente em múltiplas versões do [[_microsoft|Microsoft]] PowerPoint. A falha decorre de uma corrupção de memória durante o processamento de objetos em arquivos `.ppt` especialmente criados: ao abrir a apresentação maliciosa, o PowerPoint tenta usar um ponteiro de objeto inválido, resultando em execução de código arbitrário no contexto do usuário logado. O vetor de exploração é tipicamente via spear-phishing - o atacante envia um arquivo PowerPoint malicioso por e-mail ou link. Nenhuma interação adicional é necessária além de abrir o arquivo. Por executar com os privilégios do usuário, organizações com usuários com direitos administrativos são especialmente vulneráveis ao comprometimento total da estação de trabalho. A inclusão desta vulnerabilidade no catálogo CISA Known Exploited Vulnerabilities (KEV) confirma exploração ativa contra organizações reais. Historicamente, vulnerabilidades em componentes do [[_microsoft|Microsoft]] Office como PowerPoint foram usadas extensivamente por grupos APT em campanhas de espionagem industrial e governamental na região LATAM entre 2008 e 2012. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Fix Disponível | |--------|---------|----------------|----------------| | Microsoft | PowerPoint 2000 | SP3 | MS09-017 (maio 2009) | | Microsoft | PowerPoint 2002 | SP3 | MS09-017 (maio 2009) | | Microsoft | PowerPoint 2003 | SP3 | MS09-017 (maio 2009) | | Microsoft | PowerPoint 2007 | SP1, SP2 | MS09-017 (maio 2009) | | Microsoft | PowerPoint Viewer 2003 | Todas | MS09-017 (maio 2009) | | Microsoft | PowerPoint Viewer 2007 | SP1, SP2 | MS09-017 (maio 2009) | | Microsoft | Office Compatibility Pack | SP1, SP2 | MS09-017 (maio 2009) | ## Como Funciona A vulnerabilidade envolve corrupção de memória no processamento de objetos incorporados em apresentações PowerPoint. Durante o parsing do arquivo `.ppt`, o componente responsável pelo rendering tenta referênciar um ponteiro de objeto que foi previamente liberado (use-after-free) ou que aponta para uma região de memória controlada pelo atacante. Um atacante cria um arquivo `.ppt` contendo um objeto malformado específicamente posicionado na estrutura do arquivo. Ao abrir o arquivo, o PowerPoint processa o objeto e executa código no espaço de memória do processo, resultando em RCE. O payload normalmente instala um backdoor ou downloader para persistência. **Cadeia de ataque típica:** ``` Spear-phishing com .ppt malicioso ↓ Usuário abre o arquivo no PowerPoint ↓ Corrupção de memória / use-after-free ↓ Execução de shellcode embutido ↓ Implantação de backdoor/RAT ↓ Persistência e movimento lateral ``` ## Mitigação **Correção definitiva:** - Aplicar boletim de segurança **MS09-017** da Microsoft (12 de maio de 2009) - O patch corrige o parsing de objetos incorporados no PowerPoint **Medidas compensatórias:** - Bloquear execução automática de macros e objetos incorporados no Office - Habilitar Microsoft Office Protected View para arquivos recebidos de e-mail ou internet - Implementar filtros de e-mail para bloquear arquivos `.ppt`/`.pptx` de remetentes externos não verificados - Aplicar princípio de menor privilégio - usuários sem direitos administrativos limitam o impacto de RCE - Atualizar antivírus/EDR com assinaturas para exploits de CVE-2009-0556 **Verificação de versão:** Confirmar que o sistema tem o patch MS09-017 instalado via Windows Update ou WSUS. > [!latam] Relevância LATAM/Brasil > Vulnerabilidades em componentes do Microsoft Office como PowerPoint historicamente foram o principal vetor de entrada para campanhas de espionagem contra governos e empresas na América Latina durante o período 2008-2015. Grupos APT com foco em espionagem industrial utilizaram arquivos Office maliciosos em campanhas de spear-phishing direcionadas a setores como governo federal, petroleo e gás, e telecomúnicações no Brasil. Organizações que ainda operam versões legadas do Microsoft Office (2000-2007) sem suporte ativo continuam vulneráveis a esta e outras CVEs históricas desse ciclo. ## Referências - [NVD - CVE-2009-0556](https://nvd.nist.gov/vuln/detail/CVE-2009-0556) - [Microsoft Security Bulletin MS09-017](https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2009/ms09-017) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Notas Relacionadas **Produto afetado:** [[_microsoft|Microsoft]] **TTPs relacionadas:** [[t1566-phishing|T1566 - Phishing]] · [[t1204-002-malicious-file|T1204.002 - Malicious File]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] **Setores em risco:** [[government|governo]] · [[financial|financeiro]] · [[technology|tecnologia]] **CVEs relacionadas (família Office):** [[cve-2017-11882|CVE-2017-11882]] · [[cve-2012-0158|CVE-2012-0158]]