# CVE-2014-1761 - Microsoft Word RTF Corrupção de Memória RCE > [!high] CVSS 9.3 - RCE via Documento Word RTF Malicioso > Vulnerabilidade crítica de corrupção de memória no Microsoft Word ao processar documentos RTF, explorada em campanhas de espionagem do grupo PittyTiger com documentos-isca em campanhas de spear-phishing. ## Visão Geral A [[cve-2014-1761|CVE-2014-1761]] é uma vulnerabilidade crítica de **corrupção de memória** (use-after-free ou out-of-bounds write) no **Microsoft Word** durante o processamento de arquivos no formato **RTF (Rich Text Format)**. Com CVSS 9.3, a exploração requer apenas que a vítima abra um documento RTF malicioso - vetor ideal para campanhas de spear-phishing com documentos-isca. O grupo de espionagem **[[g0011-pittytiger|PittyTiger]]**, ator de origem chinesa, utilizou esta vulnerabilidade em campanhas de espionagem direcionadas a alvos governamentais e industriais europeus em 2014. O RTF é um formato legado amplamente suportado, o que expandiu significativamente a superfície de ataque - e-mails com anexos `.rtf` eram comuns em comúnicações corporativas da época. > [!latam] Impacto LATAM > Embora histórica, esta CVE permanece relevante para organizações brasileiras com sistemas Microsoft Office desatualizados - situação comum em órgãos públicos municipais e empresas do setor industrial. Documentos RTF ainda circulam em comúnicações formais no Brasil, e sistemas legados sem patch continuam vulneráveis a técnicas clássicas de spear-phishing. ## Detalhes Técnicos A vulnerabilidade ocorre no parser RTF do Word, específicamente no processamento de controles de RTF mal formados. O Word não válida adequadamente certos campos de comprimento ou referências de objetos OLE embutidos no RTF, resultando em escrita fora dos limites do buffer ou acesso a memória liberada (use-after-free). O resultado é execução de código arbitrário no contexto do processo do Word. **Técnicas relacionadas:** - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - entrega via e-mail com anexo RTF - [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] - exploração do Word ao abrir o arquivo ## Mitigação - Aplicar patches da Microsoft de abril de 2014 (Patch Tuesday) - Atualizar Microsoft Office para versões suportadas com suporte ativo de segurança - Configurar Protected View para abrir automaticamente documentos de fontes externas em modo seguro - Desabilitar macros e conteúdo ativo em documentos RTF via Group Policy ## Referências - [NVD - CVE-2014-1761](https://nvd.nist.gov/vuln/detail/CVE-2014-1761) - [Microsoft Security Bulletin MS14-017](https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2014/ms14-017) ## Notas Relacionadas **Atores usando:** [[g0011-pittytiger|PittyTiger]] **TTPs relacionadas:** [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] · [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] **Setores em risco:** [[government|governo]] · [[defense|defesa]] · [[technology|tecnologia]]