# CVE-2017-11774 > [!high] Microsoft Outlook RCE - Explorado pelo APT33 em Campanhas contra Energia > Vulnerabilidade de execução remota de código no Microsoft Outlook, explorada pelo grupo iraniano **APT33** em campanhas de spear-phishing contra o setor de energia e aviação. Permite execução de código via e-mail malicioso. ## Visão Geral CVE-2017-11774 é uma vulnerabilidade de execução remota de código no Microsoft Outlook que permite a um atacante executar código arbitrário ao convencer uma vítima a abrir um e-mail ou arquivo especialmente construído. A falha está na forma como o Outlook processa determinados objetos, permitindo escape da sandbox e execução de código no contexto do usuário. O [[g0064-apt33|APT33]], grupo de ameaça persistente vinculado ao governo iraniano, foi documentado usando esta vulnerabilidade em campanhas contra o setor de energia (petróleo e gás) e aviação no Oriente Médio e nos Estados Unidos. O APT33 tem histórico de interesse em infraestrutura crítica de países com dependência de petróleo, e campanhas derivadas foram observadas contra empresas com operações na América Latina. O grupo frequentemente combina CVE-2017-11774 com droppers baseados em VBScript para implantar backdoors como TURNEDUP e NANCRAT. ## Como Funciona A vulnerabilidade reside no processamento de objetos de home page do Outlook (`.htm` files registrados como home pages de pastas). Um atacante pode enviar um e-mail que modifica a home page de uma pasta do Outlook para apontar para uma URL maliciosa. Quando a vítima navega para a pasta, o Outlook carrega e processa o HTML/script malicioso no contexto de zona Local Machine, bypassing restrições de segurança de internet. O resultado é execução de VBScript/JScript com os privilégios do usuário. ## TTPs Relacionados - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - entrega via e-mail - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - abertura de conteúdo malicioso - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - execução de VBScript - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - ofuscação de payload > [!latam] Relevância para o Brasil > O APT33 tem interesse documentado em empresas do setor de energia e petroquímica. A Petrobras e fornecedores do setor de óleo e gás no Brasil se enquadram no perfil de alvo histórico do grupo. Organizações do setor energético brasileiro devem manter patches do Microsoft Outlook atualizados e monitorar configurações de home pages de pastas. ## Detecção e Defesa - Aplicar patch de outubro de 2017 para Outlook - Monitorar modificações em home pages de pastas Outlook via registro do Windows - Implementar [[m1049-antivirus|M1049]] com detecção de VBScript malicioso - Bloquear acesso de Outlook a URLs externas via política de grupo ## Referências - [Microsoft Advisory CVE-2017-11774](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2017-11774) - [FireEye - APT33 Profile](https://www.fireeye.com/blog/threat-research/2017/09/apt33-insights-into-iranian-cyber-espionage.html) - [MITRE ATT&CK - APT33 (G0064)](https://attack.mitre.org/groups/G0064/)