cve-2011-2005 - RunkIntel

# CVE-2011-2005 > [!medium] Escalada de Privilégio Local via Driver AFD.sys do Windows > CVE-2011-2005 é uma vulnerabilidade de escalada de privilégio local no driver **AFD.sys** (Ancillary Function Driver) do Windows. Permite que um processo local com poucos privilégios eleve permissões para SYSTEM através de uma chamada de sistema malformada ao subsistema de sockets Winsock. ## Visão Geral CVE-2011-2005 afeta o **AFD.sys**, driver do Windows responsável pelo suporte de sockets Winsock (Windows Sockets API). A vulnerabilidade decorre de uma válidação inadequada de parâmetros em chamadas de sistema específicas ao driver, permitindo que um processo de baixo privilégio cause corrupção de memória e execute código com privilégios SYSTEM. O grupo **FIN6** (também conhecido como ITG08), grupo criminoso financeiro sofisticado, foi associado ao uso de exploits de escalada de privilégio local do Windows em operações pós-comprometimento. CVE-2011-2005 e vulnerabilidades similares de EoP de drivers Windows foram componentes de toolkits criminosos por anos após a divulgação, especialmente em ambientes corporativos com sistemas legados. A relevância desta CVE está principalmente no contexto histórico e em ambientes legados: sistemas Windows XP/7 sem Extended Security Updates permaneceram vulneráveis por longos períodos em muitas organizações. > [!latam] Relevância para Brasil e LATAM > Ambientes corporativos brasileiros, especialmente em setores como varejo, manufatura e governo, mantiveram por anos sistemas Windows XP e 7 sem suporte de segurança. Vulnerabilidades de escalada de privilégio local como CVE-2011-2005 foram exploradas em operações de pós-comprometimento para elevar acesso em redes latinoamericanas com parque de máquinas desatualizado. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | Local Privilege Escalation | | Componente | AFD.sys (Ancillary Function Driver - Winsock) | | Nível de acesso | SYSTEM | | Requisito | Execução local com baixo privilégio | | CVSS | 7.2 (High) | | Versões | Windows XP, Vista, 7, Server 2003, 2008 | ## TTPs Relacionadas - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Mitigação - Aplicar o Patch Tuesday de novembro de 2011 (MS11-092) - Migrar sistemas Windows XP/7 para versões suportadas (EOL) - Implementar princípio de menor privilégio para contas de usuário - Aplicar [[m1068-operating-system-configuration|M1068 - Operating System Configuration]] para endurecimento de kernel - Usar [[m1026-privileged-account-management|M1026 - Privileged Account Management]] para limitar exposição ## Referências - [Microsoft Security Bulletin MS11-092](https://learn.microsoft.com/en-us/security-updates/securitybulletins/2011/ms11-092) - [NVD - CVE-2011-2005](https://nvd.nist.gov/vuln/detail/CVE-2011-2005) - [MITRE ATT&CK - T1068](https://attack.mitre.org/techniques/T1068/)