# CVE-2009-4324 > [!medium] Zero-Day no Adobe Reader - Explorado pelo APT12 em Spear Phishing > Vulnerabilidade use-after-free no Adobe Reader e Acrobat que permite execução de código ao abrir um PDF malicioso, explorada como zero-day pelo grupo de espionagem **APT12** (Numbered Panda) em campanhas de spear phishing contra mídia, governo e setor de defesa. ## Visão Geral A [[cve-2009-4324|CVE-2009-4324]] é uma vulnerabilidade use-after-free no motor de processamento de JavaScript do Adobe Reader e Acrobat. Ao abrir um arquivo PDF especialmente criado, o código malicioso é executado no contexto do processo Adobe com os privilégios do usuário atual. Esta CVE foi explorada como zero-day pelo [[g0005-apt12|APT12]] (também conhecido como Numbered Panda e IXESHE), um grupo de espionagem com nexo à China. O APT12 utilizou PDFs maliciosos entregues via spear phishing para comprometer organizações de mídia, jornalistas, institutos de política e governo — especialmente alvos relacionados a Taiwan e figuras políticas de interesse para o governo chinês. O caso é historicamente significativo por demonstrar o modelo operacional do APT12: desenvolvimento ou aquisição de exploits zero-day em PDF, entrega por e-mail dirigido a alvos de alto valor, e comprometimento persistente para espionagem. A Adobe demorou semanas para emitir um patch emergêncial, durante os quais o exploit continuou sendo utilizado ativamente. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | Adobe Reader / Adobe Acrobat | | Componente | Motor JavaScript do PDF | | Tipo | Use-After-Free | | Vetor | Arquivo PDF malicioso via spear phishing | | Status no Momento | Zero-day (sem patch disponível) | | APT | APT12 / Numbered Panda (China) | | CVSS Base | 9.3 | ## Perfil APT12 O [[g0005-apt12|APT12]] é notável por: - **Especialidade**: Exploração de aplicações de visualização de documentos (PDF, Office) - **Alvos preferênciais**: Jornalistas, mídia, governo, think tanks focados em política asiática - **Geolocalização**: Principalmente Taiwan, Japão, EUA, mas com alcance global - **Longevidade**: Atividade documentada de pelo menos 2010 a 2016 ## TTPs Relacionados - [[t1566-001-spearphishing-attachment|T1566.001]] - Spear Phishing com Anexo (PDF) - [[t1203-exploitation-for-client-execution|T1203]] - Exploração para Execução no Cliente - [[t1059-001-powershell|T1059]] - Interpretador de Comandos - [[t1105-ingress-tool-transfer|T1105]] - Transferência de Ferramenta ## Lições de Segurança 1. **PDF como vetor de ataque**: PDFs são amplamente confiáveis e raramente inspecionados 2. **JavaScript em PDF**: Desabilitar JavaScript no Adobe Reader reduz a superfície de ataque 3. **Sandboxing**: Adobe Reader X (2010) introduziu sandbox como resposta direta a este tipo de exploit 4. **Alternativas de visualizador**: Visualizadores de PDF alternativos com menor superfície de ataque reduzem exposição > [!latam] Relevância para Brasil e LATAM > O APT12 e grupos similares de espionagem chinesa têm expandido operações para a América Latina em décadas recentes, com foco em setores de recursos naturais, governo e política exterior. O vetor de spear phishing via PDF permanece altamente eficaz no Brasil — pesquisas mostram que PDFs são consistentemente o tipo de anexo malicioso mais clicado em organizações brasileiras. Atualizar Adobe Reader e desabilitar JavaScript em PDF são medidas de higiene essenciais. ## Referências - [FireEye - APT12 analysis](https://www.fireeye.com/blog/threat-research/2014/11/darwins-fits-evolution-of-malware-ixeshe.html) - [Adobe Security Bulletin APSB10-02](https://helpx.adobe.com/security/products/acrobat/apsb10-02.html) - [NVD - CVE-2009-4324](https://nvd.nist.gov/vuln/detail/CVE-2009-4324)