# CVE-2017-0213 > [!medium] Windows COM Privilege Escalation - Usado em Operation DRBControl > Vulnerabilidade de elevação de privilégios no Windows COM Aggregate Marshaler, utilizada em ataques direcionados para escalar de usuário comum para SYSTEM local, incluindo a campanha **Operation DRBControl** contra setor financeiro APAC. ## Visão Geral CVE-2017-0213 é uma vulnerabilidade de elevação de privilégios no componente COM Aggregate Marshaler do Windows. Quando explorada com sucesso, permite que um atacante com acesso local (mesmo com privilégios baixos) eleve suas permissões para SYSTEM, o nível máximo de controle do sistema operacional Windows. A falha está relacionada à forma como o Windows COM lida com objetos no processo de marshaling - a serialização de dados entre processos. Um aplicativo especialmente construído pode explorar uma condição de corrida ou confusão de tipos no processo de marshaling para obter acesso privilegiado. O CVE foi documentado como componente da cadeia de ataque da [[operation-drbcontrol|Operation DRBControl]], uma campanha de espionagem sofisticada contra apóstas online e setor financeiro no Sudeste Asiático. A disponibilidade de exploits públicos após o patch tornou a vulnerabilidade popular em kits de exploits e frameworks de pós-exploração. ## TTPs Relacionados - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - técnica principal - [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso pós-escalação - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - técnica complementar - [[t1055-process-injection|T1055 - Process Injection]] - injeção pós-escalação ## Detecção e Defesa - Aplicar patch MS17-028 (maio 2017) - Monitorar criação de processos com SID SYSTEM a partir de processos de baixo privilégio - Implementar [[m1026-privileged-account-management|M1026]] - gestão de contas privilegiadas - Detectar tokens de impersonação incomuns via eventos 4624/4672 do Windows > [!latam] Relevância para o Brasil > A cadeia de ataque da Operation DRBControl que inclui este CVE tem padrões sobreponíveis com ataques ao setor de apóstas e fintech no Brasil. A técnica de escalação via COM é um componente comum em frameworks de pós-exploração utilizados por grupos financeiramente motivados que operam na América Latina. ## Referências - [Microsoft Advisory CVE-2017-0213](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2017-0213) - [Trend Micro - Operation DRBControl](https://www.trendmicro.com/en_us/research/20/b/the-operation-drbcontrol-uncovering-a-cyberespionage-campaign.html) - [MITRE ATT&CK - T1068](https://attack.mitre.org/techniques/T1068/)