cve-2014-4113 - RunkIntel

# CVE-2014-4113 - Windows win32k.sys Escalação de Privilégio (Operation Double Tap) > [!high] CVSS 7.2 - Escalação de Privilégio Local no Windows via win32k.sys > Vulnerabilidade no driver de modo kernel win32k.sys permite escalação de privilégio para SYSTEM - usada na Operation Double Tap em cadeia com CVE-2014-6332 para obter controle completo de sistemas comprometidos. ## Visão Geral A [[cve-2014-4113|CVE-2014-4113]] é uma vulnerabilidade de **escalação de privilégio (EoP)** no driver kernel **win32k.sys** do Windows, que permite a um atacante local elevar privilégios para o nível SYSTEM. Corrigida em outubro de 2014, foi usada em conjunto com [[cve-2014-6332|CVE-2014-6332]] na **[[operation-double-tap|Operation Double Tap]]**, onde um atacante primeiro obtinha acesso inicial via exploração de navegador (CVE-2014-6332) e depois escalava para SYSTEM localmente (CVE-2014-4113). A combinação destas duas CVEs criou uma cadeia de exploração completa: acesso remoto via browser + escalação para SYSTEM local. O nome "Double Tap" refere-se exatamente a esta abordagem de dois estágios. A CrowdStrike identificou o uso conjunto destas CVEs em campanhas de espionagem avançada em outubro de 2014. > [!latam] Impacto LATAM > Escalações de privilégio Windows em drivers de modo kernel continuam sendo técnicas relevantes mesmo em versões modernas do Windows. Organizações brasileiras com sistemas legados Windows 7/Server 2008 - ainda presentes em infraestruturas industriais, hospitalares e municipais - permanecem vulneráveis se sem patches aplicados. ## Detalhes Técnicos A vulnerabilidade reside no driver `win32k.sys` que processa operações de janelas e objetos GDI. Uma condição de race ou uso indevido de ponteiro no gerenciamento de objetos de janela permite que código de nível de usuário acesse ou manipule memória kernel de forma privilegiada. A falha é explorável localmente após qualquer método de acesso inicial. **Técnicas relacionadas:** - [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - escalação local para SYSTEM - [[t1055-process-injection|T1055 - Process Injection]] - pós-escalação para persistência e movimento lateral ## Mitigação - Aplicar patches da Microsoft de outubro de 2014 (MS14-058, KB3000061) - Atualizar sistemas Windows XP/Vista/7 para versões suportadas (todos estão EOL) - Implementar controle de aplicações e monitoramento de comportamento de processos kernel ## Referências - [NVD - CVE-2014-4113](https://nvd.nist.gov/vuln/detail/CVE-2014-4113) - [Microsoft Security Bulletin MS14-058](https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2014/ms14-058) - [CrowdStrike - Operation Double Tap](https://www.crowdstrike.com/blog/operation-double-tap/) ## Notas Relacionadas **Campanhas:** [[operation-double-tap|Operation Double Tap]] **CVEs relacionados:** [[cve-2014-6332|CVE-2014-6332]] · [[cve-2013-3660|CVE-2013-3660]] **TTPs relacionadas:** [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] · [[t1055-process-injection|T1055 - Process Injection]] **Setores em risco:** [[government|governo]] · [[defense|defesa]] · [[critical-infrastructure|infraestrutura crítica]]