> [!danger] CVSS 7.8 - Alto > Stack buffer overflow no Microsoft Equation Editor (EQNEDT32.EXE) permite RCE via documento Office malicioso - componente compilado em 2000, sem DEP/ASLR. > [!warning] Exploração Persistente > Exploração documentada continuamente de 2017 até 2020+. Top 10 vulnerabilidades mais exploradas segundo o FBI (2020). PoC público disponível. > [!success] Patch Disponível > Patches de novembro de 2017. Alternativa: remover EQNEDT32.EXE via registro. # CVE-2017-11882 - Microsoft Office Equation Editor RCE > [!high] CVSS 7.8 - RCE via Equation Editor Legado (sem DEP/ASLR) ## Visão Geral A [[cve-2017-11882|CVE-2017-11882]] é uma vulnerabilidade crítica de **stack buffer overflow** no **Microsoft Equation Editor** (EQNEDT32.EXE), componente legado do Office compilado originalmente em 2000 e distribuído sem recompilação por 17 anos em todas as versões do Office. A ausência de proteções modernas como DEP e ASLR tornava a exploração trivial: basta abrir um documento Office com equação maliciosa para executar código arbitrário. Incluída no Top 10 de vulnerabilidades mais exploradas pelo FBI em 2020, esta CVE foi usada por grupos como [[g0007-apt28|APT28]], [[g0046-fin7|FIN6]] e [[g0069-mango-sandstorm|MANGO Sandstorm]] para entregar malware via spear-phishing com documentos Office entre 2018 e 2021. O exploit tornou-se commodity no Metasploit Framework, amplamente acessível a qualquer ator. > [!latam] Impacto LATAM > Documentos Office maliciosos com equações exploitadas via esta CVE foram veículos frequentes de campanhas de phishing no Brasil. Organizações que ainda operam Microsoft Office 2007/2010/2013/2016 sem os patches de novembro de 2017 permanecem vulneráveis - situação ainda presente em PMEs e órgãos públicos municipais brasileiros com infraestrutura legada. ## Resumo **CVE-2017-11882** é uma vulnerabilidade crítica de **stack buffer overflow** no **Microsoft Equation Editor** (EQNEDT32.EXE), componente legado do Microsoft Office compilado originalmente em **9 de novembro de 2000** e distribuído sem recompilação em todas as versões do Office até 2017. O componente não utiliza proteções modernas como **DEP (Data Execution Prevention) e ASLR (Address Space Layout Randomization)**, tornando a exploração trivial. Atacantes distribuem documentos Office (.doc, .rtf, .xlsx) com equações maliciosas via spear-phishing. A abertura do documento dispara o Equation Editor e explora o overflow para executar código arbitrário com os privilégios do usuário atual. O exploit foi incluído no Metasploit Framework e integrado em múltiplos kits de ataque, tornando-se um dos exploits mais populares em campanhas APT e criminalidade cibernética de 2018 a 2020. **Pontuação de risco:** - CVSS v3.1: **7.8** (Alto) - requer abertura de documento - EPSS: **97%** de probabilidade de exploração - Listado no Top 10 de vulnerabilidades mais exploradas pelo FBI (2020) ## Detalhes Técnicos O Equation Editor (EQNEDT32.EXE) é um servidor COM out-of-process que processa objetos OLE do tipo `Equation.3` em documentos Office: 1. **Ausência de mitigações:** EQNEDT32.EXE foi compilado sem suporte a DEP e ASLR, tornando técnicas clássicas de exploração de memória totalmente viáveis 2. **Objeto OLE malicioso:** O atacante embarca um objeto `Equation.3` com dados de equação malformados no documento 3. **Stack overflow:** O Equation Editor processa os dados malformados e causa overflow no buffer de pilha 4. **Execução de payload:** O atacante redireciona a execução para shellcode arbitrário (ex: `cmd.exe /c ...`) 5. **Out-of-process:** Por ser um processo separado, proteções específicas do Office (EMET, Windows Defender Exploit Guard) não se aplicam por padrão ao EQNEDT32.EXE ## Exploração **Status atual:** Exploração contínua documentada de 2017 a 2020+. Sistemas legados sem patch ainda vulneráveis. **Grupos de ameaça utilizando:** - [[g0007-apt28]] - Fancy Bear (Rússia) - utilizou CVE-2017-11882 em campanhas de espionagem contra governo e defesa - [[g0046-fin7]] - grupo de crime financeiro - entrega de malware (Carbanak, Agent Tesla) em campanhas contra setor financeiro - [[g0069-mango-sandstorm]] - iraniano - amplo uso em campanhas de spear-phishing **Payloads frequentemente distribuídos:** - Agent Tesla, FormBook, NetWire RAT - Cobalt Strike Beacon - Keyloggers e stealers de credenciais **TTPs relacionadas:** - [[t1566-phishing|T1566 - Phishing]] - entrega via documento Office em e-mail de spear-phishing - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - exploração do Equation Editor no cliente - [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - execução de PowerShell/cmd pós-exploração ## Mitigação **Patch oficial:** - Aplicar atualizações de segurança de novembro de 2017 via Windows Update - Advisory: [CVE-2017-11882 Microsoft](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2017-11882) **Desabilitar Equation Editor (workaround definitivo):** ``` reg delete "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /f ``` **Defesas adicionais:** - Configurar EMET ou Windows Defender Exploit Guard com DEP/ASLR obrigatório para EQNEDT32.EXE - Monitorar execução anômala de EQNEDT32.EXE - processos filhos suspeitos são indicadores claros de exploração ## Notas Relacionadas **CVEs relacionados:** [[cve-2022-30190|CVE-2022-30190]] · [[cve-2021-40444|CVE-2021-40444]] **Atores explorando:** [[g0007-apt28]] · [[g0046-fin7]] · [[g0069-mango-sandstorm]] **TTPs relacionadas:** [[t1566-phishing|T1566 - Phishing]] · [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] **Setores em risco:** [[government]] · [[financial]] · [[defense]] ## Referências - [NVD - CVE-2017-11882](https://nvd.nist.gov/vuln/detail/CVE-2017-11882) - [Unit 42 - Analysis in the Wild](https://unit42.paloaltonetworks.com/unit42-analysis-of-CVE-2017-11882-exploit-in-the-wild/) - [Huntress - CVE-2017-11882 Threat Library](https://www.huntress.com/threat-library/vulnerabilities/CVE-2017-11882) - [Microsoft KB4055535 - Disable Equation Editor](https://support.microsoft.com/kb/4055535)