# CVE-2013-3660 - Windows win32k.sys Escalação de Privilégio (EoP) > [!medium] CVSS 7.2 - Escalação de Privilégio no Windows via win32k.sys > Vulnerabilidade no driver de modo kernel win32k.sys permite que um atacante local eleve privilégios para SYSTEM - amplamente utilizada em cadeias de ataque APT e crime cibernético de 2013 a 2015. ## Visão Geral A [[cve-2013-3660|CVE-2013-3660]] é uma vulnerabilidade de escalação de privilégio (EoP) no driver de modo kernel **win32k.sys** do Windows, que permite que um usuário local eleve seus privilégios para o nível SYSTEM. A falha foi corrigida pela Microsoft em novembro de 2013 no Patch Tuesday, mas permaneceu amplamente explorada por grupos APT e criminosos cibernéticos em cadeias de ataque durante 2013-2015. O driver win32k.sys gerencia o subsistema gráfico do Windows, processando mensagens e operações de interface gráfica. Uma manipulação incorreta de handles ou ponteiros no kernel permite que código de usuário com privilégios baixos escreva em locais arbitrários da memória kernel, resultando em execução de código com privilégios SYSTEM. O grupo [[g0037-fin6|FIN6]] utilizou vulnerabilidades desta classe em suas campanhas de comprometimento de sistemas de ponto de venda (POS). > [!latam] Impacto LATAM > CVEs históricas de escalação de privilégio Windows permanecem relevantes para organizações brasileiras que operam sistemas legados - especialmente no setor **financeiro** (POS, caixas bancários) e **governo** (sistemas administrativos em versões antigas de Windows). O FIN6, ator que usa esta técnica, tem interesse documentado em sistemas de processamento de cartões de crédito na América Latina. ## Detalhes Técnicos A falha reside no processamento de operações de handle no driver kernel `win32k.sys`. Um atacante com acesso local pode enviar chamadas de sistema especialmente construídas que causam condição de race ou corrupção de ponteiro, resultando em execução arbitrária de código no nível kernel. **Técnicas relacionadas:** - [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - escalonamento local para SYSTEM - [[t1055-process-injection|T1055 - Process Injection]] - frequentemente combinada pós-escalação ## Mitigação - Aplicar patches da Microsoft de novembro de 2013 (KB2893984 e relacionados) - Atualizar sistemas Windows XP/2003 para versões suportadas (estes sistemas estão EOL) - Implementar controle de aplicações (AppLocker/WDAC) para bloquear execução de exploits - Habilitar Windows Defender Credential Guard em sistemas modernos como defesa em profundidade ## Referências - [NVD - CVE-2013-3660](https://nvd.nist.gov/vuln/detail/CVE-2013-3660) - [Microsoft Patch Tuesday - Novembro 2013](https://msrc.microsoft.com/update-guide/) ## Notas Relacionadas **Atores usando:** [[g0037-fin6|FIN6]] **TTPs relacionadas:** [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] · [[t1055-process-injection|T1055 - Process Injection]] **Setores em risco:** [[financial|financeiro]] · [[retail|varejo]]