# CVE-2017-0199 > [!high] Microsoft Office RCE via HTA - Amplamente Explorado em Spear-Phishing > Vulnerabilidade de execução remota de código no Microsoft Office e WordPad, explorada por múltiplos APTs. Permite que documentos RTF/DOCX maliciosos baixem e executem arquivos HTA via Object Linking and Embedding (OLE2). ## Visão Geral CVE-2017-0199 é uma vulnerabilidade crítica de execução remota de código que afeta o Microsoft Office e o Windows WordPad. A falha está no mecanismo de processamento de objetos OLE2 incorporados em documentos RTF, permitindo que um documento Word abra automaticamente uma URL que aponta para um arquivo HTA (HTML Application) remoto - sem qualquer aviso de segurança para o usuário. A exploração foi observada em estado selvagem antes do patch, sendo utilizada por múltiplos atores de ameaça em campanhas de spear-phishing direcionadas. O grupo [[g0121-sidewinder|SideWinder]] foi documentado usando esta vulnerabilidade contra alvos militares e governamentais no sul e sudeste da Ásia. O [[g0045-apt10|APT10]] também utilizou a falha em campanhas de espionagem industrial. A facilidade de exploração - basta abrir um documento Word - tornou este CVE extremamente popular no mercado de exploits em 2017-2018. ## Como Funciona Quando uma vítima abre um documento RTF malicioso, o parser do Office processa automaticamente um objeto OLE2 incorporado que contém uma URL para um arquivo HTA remoto. O Windows executa o HTA via `mshta.exe` sem solicitar confirmação do usuário ou exibir zona de segurança. O arquivo HTA pode conter JavaScript/VBScript arbitrário que executa com os privilégios do usuário atual. Ferramentas como Metasploit e PowerShell Empire incluíram módulos para este exploit rapidamente após a divulgação. ## TTPs Relacionados - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - vetor de entrega - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - execução via documento - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - execução via mshta.exe - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - download de payload secundário ## Detecção e Defesa - Aplicar patch MS17-023 (abril 2017) imediatamente - Bloquear `mshta.exe` via Application Control (AppLocker/WDAC) - Monitorar [[m1049-antivirus|M1049]] - detecção de HTA maliciosos - Regras de detecção: processos filhos de `winword.exe` ou `wordpad.exe` que invocam `mshta.exe` - Aplicar [[m1042-disable-or-remove-feature|M1042]] - desabilitar OLE para documentos de fontes não confiáveis ## Referências - [Microsoft Advisory CVE-2017-0199](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2017-0199) - [FireEye - CVE-2017-0199 Analysis](https://www.fireeye.com/blog/threat-research/2017/04/CVE-2017-0199-hta-handler.html) - [MITRE ATT&CK - T1204.002](https://attack.mitre.org/techniques/T1204/002/)