# CVE-2015-5122 > [!medium] Zero-Day no Adobe Flash Player - Vazamento HackingTeam / APT18 > Vulnerabilidade use-after-free crítica no Adobe Flash Player, exposta pelo vazamento dos dados da empresa de vigilância **HackingTeam** em 2015 e explorada por múltiplos grupos incluindo o **APT18**. ## Visão Geral A [[cve-2015-5122|CVE-2015-5122]] é uma vulnerabilidade use-after-free no Adobe Flash Player que permite execução remota de código arbitrário quando o usuário visita uma página web contendo conteúdo Flash malicioso. Esta CVE tem contexto histórico particularmente relevante: ela foi descoberta e divulgada como resultado direto do vazamento de mais de 400 GB de dados da empresa italiana de vigilância **HackingTeam** em julho de 2015. O vazamento HackingTeam expôs múltiplos zero-days no Flash que eram utilizados pelo software de vigilância comercial "Remote Control System" (RCS) da empresa, vendido a governos para vigilância de alvos. Após o vazamento, a vulnerabilidade ficou disponível públicamente, sendo rapidamente integrada em kits de exploração como Angler e Nuclear, e adotada por grupos APT incluindo o [[g0026-apt18|APT18]] (Dynamite Panda). Embora o Flash Player esteja em fim de vida desde dezembro de 2020, esta CVE é importante historicamente para entender o modelo de negócios de mercado de zero-days e o impacto de vazamentos de empresas de vigilância comercial. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | Adobe Flash Player | | Tipo | Use-After-Free | | Vetor | Rede (navegação a página com Flash) | | Origem | Vazamento de dados HackingTeam (2015) | | Exploit Kits | Angler EK, Nuclear EK | | CVSS Base | 10.0 | ## Contexto HackingTeam O incidente HackingTeam de 2015 é um caso de estudo em segurança sobre: 1. **Risco de concentração de zero-days**: a empresa acumulava vulnerabilidades para uso comercial 2. **Dano em cascata**: o vazamento tornou exploits avançados disponíveis para qualquer ator de ameaça 3. **Clientes governo**: documentos vazados revelaram clientes no Brasil (ABIN e outros) 4. **Mercado cinza**: evidenciou o ecossistema de venda de exploits a governos autoritários ## TTPs Relacionados - [[t1189-drive-by-compromise|T1189]] - Comprometimento por Drive-by - [[t1203-exploitation-for-client-execution|T1203]] - Exploração para Execução no Cliente - [[t1566-002-spearphishing-link|T1566.002]] - Spear Phishing via Link ## Lição para Organizações - Flash Player deve ter sido desinstalado em 2020 (fim de suporte oficial) - Não confiar em software de vigilância de terceiros — pode ser comprometido - Monitorar mercados de zero-days como indicador de capacidade de adversários > [!latam] Relevância para Brasil e LATAM > Os documentos vazados da HackingTeam revelaram que agências governamentais brasileiras figuravam entre os clientes da empresa. Este incidente teve implicações diretas para a privacidade digital no Brasil e contribuiu para discussões sobre regulamentação do mercado de vigilância digital na América Latina. Historicamente relevante para compreender a postura de segurança de atores estatais na região. ## Referências - [Citizen Lab - HackingTeam analysis](https://citizenlab.ca/2015/07/mapping-hacking-teams-continuous-delivery-of-zero-day-exploits/) - [Adobe Security Bulletin APSB15-18](https://helpx.adobe.com/security/products/flash-player/apsb15-18.html) - [NVD - CVE-2015-5122](https://nvd.nist.gov/vuln/detail/CVE-2015-5122)