# CVE-2012-0158 > [!medium] Clássico do Spear Phishing - Buffer Overflow no MSCOMCTL.OCX Usado por Múltiplos APTs > Vulnerabilidade de buffer overflow no componente ActiveX ListView/TreeView (MSCOMCTL.OCX) do Microsoft Office, amplamente explorada por dezenas de grupos APT em campanhas de spear phishing durante 2012-2015, incluindo o **PittyTiger**. ## Visão Geral A [[cve-2012-0158|CVE-2012-0158]] é uma vulnerabilidade de buffer overflow no componente ActiveX `MSCOMCTL.OCX` (Microsoft Common Controls) utilizado pelo Microsoft Office. A falha é acionada ao abrir um documento Office malicioso que instancia o controle ListView ou TreeView com parâmetros especialmente criados. Esta CVE se tornou talvez a mais explorada em campanhas de spear phishing APT por um período de pelo menos três anos após sua públicação. Mais de 20 grupos APT documentados incorporaram exploits para esta falha em seus arsenais — tornando-a um indicador de comprometimento histórico extremamente relevante para análise forense retroativa. O grupo [[g0011-pittytiger|PittyTiger]], um APT com nexo à China, foi um dos múltiplos grupos que utilizaram esta vulnerabilidade em campanhas de espionagem. A facilidade de geração de documentos Office maliciosos explorando CVE-2012-0158, combinada com a onipresença do Microsoft Office, explica sua popularidade excepcional no ecossistema de grupos APT. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | Microsoft Office / Windows (MSCOMCTL.OCX) | | Componente | Controle ActiveX ListView/TreeView | | Tipo | Buffer Overflow | | Vetor | Arquivo Office malicioso (doc/xls/ppt) via spear phishing | | Popularidade | Explorada por 20+ grupos APT distintos | | CVSS Base | 9.3 | ## Grupos APT que Utilizaram esta CVE Esta CVE é historicamente notável pela amplitude de grupos que a adotaram: - APT1 (Comment Crew) - China - APT10 (Stone Panda) - China - APT3 (Gothic Panda) - China - [[g0011-pittytiger|PittyTiger]] - China - Turla - Rússia - Diversos grupos de motivação financeira ## TTPs Relacionados - [[t1566-001-spearphishing-attachment|T1566.001]] - Spear Phishing com Anexo - [[t1203-exploitation-for-client-execution|T1203]] - Exploração para Execução no Cliente - [[t1059-001-powershell|T1059]] - Interpretador de Comandos ## Valor Forense e para Threat Intel Embora antiga, esta CVE é valiosa para: 1. Identificar comprometimentos históricos em organizações (2012-2016) 2. Correlacionar IOCs legados com atividade APT documentada 3. Compreender perfis de grupos que a utilizaram (nexo China e outros) 4. Análise de documentos Office suspeitos em investigações de incidentes históricos > [!latam] Relevância para Brasil e LATAM > Grupos APT chineses que exploram esta CVE têm registros de operações na América Latina, especialmente contra setores de governo, telecomúnicações e recursos naturais. Para organizações brasileiras conduzindo investigações forenses em incidentes históricos de 2012-2016, a presença de documentos Office maliciosos com esta CVE é forte indicativo de comprometimento por APTs de espionagem. ## Referências - [Microsoft Security Bulletin MS12-027](https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2012/ms12-027) - [FireEye - CVE-2012-0158 widespread exploitation](https://www.fireeye.com/blog/threat-research/2012/10/are-you-in-good-company-CVE-2012-0158.html) - [NVD - CVE-2012-0158](https://nvd.nist.gov/vuln/detail/CVE-2012-0158)