# CVE-2015-2545 > [!medium] Execução de Código via EPS Malicioso no Microsoft Office - APT16 > Vulnerabilidade crítica no filtro EPS (Encapsulated PostScript) do Microsoft Office, explorada pelo grupo de espionagem **APT16** em campanhas de spear phishing com documentos Office armadilhados. ## Visão Geral A [[cve-2015-2545|CVE-2015-2545]] é uma vulnerabilidade no filtro de processamento de arquivos EPS (Encapsulated PostScript) embutido no Microsoft Office. Ao abrir um documento Office contendo um arquivo EPS especialmente criado, o código malicioso é executado no contexto do processo do Office, sem necessidade de macros ou confirmações adicionais do usuário. Esta vulnerabilidade foi explorada pelo grupo de espionagem [[g0023-apt16|APT16]], atribuído à China, em campanhas de spear phishing direcionadas. Os atacantes enviavam documentos Word ou PowerPoint que pareciam legítimos mas continham arquivos EPS incorporados com o exploit. Uma vez executado, o malware estabelecia comunicação com servidores de comando e controle para exfiltração de dados. A Microsoft desativou completamente o filtro EPS no Office em 2017 (não apenas patcheou a vulnerabilidade) como medida preventiva adicional, reconhecendo que o vetor de ataque via EPS tinha sido explorado de forma consistente por múltiplos grupos APT. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | Microsoft Office (Word, PowerPoint, Excel) | | Componente | Filtro de arquivos EPS (Encapsulated PostScript) | | Tipo | Execução de Código Arbitrário | | Vetor | Arquivo Office malicioso via spear phishing | | Exploração | Confirmada em campanhas APT16 | | CVSS Base | 9.3 | ## Versões Afetadas - Microsoft Office 2007 Service Pack 3 - Microsoft Office 2010 Service Pack 2 - Microsoft Office 2013 Service Pack 1 - Microsoft Office 2013 RT Service Pack 1 ## TTPs Relacionados - [[t1566-001-spearphishing-attachment|T1566.001]] - Spear Phishing com Anexo - [[t1203-exploitation-for-client-execution|T1203]] - Exploração para Execução no Cliente - [[t1059-001-powershell|T1059]] - Interpretador de Comandos - [[t1105-ingress-tool-transfer|T1105]] - Transferência de Ferramenta ## Mitigação - Aplicar MS15-099 (patch de setembro 2015) — ou atualizar para versão moderna do Office - Desabilitar filtro EPS manualmente (via chave de registro) em versões sem patch - Treinar usuários para não abrir documentos Office de fontes não confiáveis - Usar Protected View e sandbox do Office para abrir documentos externos > [!latam] Relevância para Brasil e LATAM > O Microsoft Office é ubíquo em ambientes corporativos e governamentais brasileiros. A técnica de embeds EPS maliciosos em documentos Word/PowerPoint foi amplamente utilizada por grupos de espionagem chineses em campanhas contra setores de governo, energia e telecomúnicações — todos setores estratégicos com presença significativa no Brasil e na América do Sul. ## Referências - [Microsoft Security Bulletin MS15-099](https://docs.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-099) - [NVD - CVE-2015-2545](https://nvd.nist.gov/vuln/detail/CVE-2015-2545) - [FireEye - APT16 EPS exploit analysis](https://www.fireeye.com/blog/threat-research/2015/09/zero-day_used_bya.html)