# CVE-2018-0798 > [!high] Corrupção de Memória no Equation Editor do Office - Explorado pelo Tonto Team > CVE-2018-0798 é uma vulnerabilidade de corrupção de memória no componente legado **Equation Editor** (EQNEDT32.EXE) do Microsoft Office, que permite execução remota de código ao abrir documentos maliciosos. Faz parte do conjunto de falhas no Equation Editor que dominaram o cenário de ataques via Office em 2018. ## Visão Geral CVE-2018-0798 é mais uma vulnerabilidade crítica no **EQNEDT32.EXE**, o antigo Editor de Equações do Microsoft Office. Assim como a relacionada [[cve-2018-0802|CVE-2018-0802]], a falha decorre das características de segurança inadequadas deste componente legado que data do Office 97 e nunca foi atualizado com proteções modernas. A vulnerabilidade de corrupção de memória pode ser explorada via documentos Office maliciosos (.doc, .rtf, .xls) que contêm equações especialmente construídas. Ao abrir o arquivo, o EQNEDT32.EXE processa a equação maliciosa e executa código arbitrário sem sandboxing ou proteção ASLR/DEP adequada. O grupo **Tonto Team** (CactusKate), APT de origem chinesa focado em espionagem no leste europeu e Ásia, foi identificado utilizando CVE-2018-0798 em campanhas de spear-phishing contra agências governamentais. A disponibilidade simultânea de múltiplas CVEs para o mesmo componente indica que o código legado tinha múltiplos bugs exploráveis. > [!latam] Relevância para Brasil e LATAM > Múltiplas vulnerabilidades do Equation Editor foram incorporadas em exploit kits comerciais e ferramentas de acesso pago utilizadas por grupos criminosos na América Latina. Organizações brasileiras sem patching rigoroso permaneceram vulneráveis por períodos prolongados, especialmente em ambientes com versões antigas do Office. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | Memory Corruption / Remote Code Execution | | Componente | EQNEDT32.EXE (Equation Editor) | | Formato de arquivo | .doc, .rtf, .xls (OLE) | | Proteções ausentes | ASLR/DEP ausentes no processo | | CVSS | 8.8 (High) | ## TTPs Relacionadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] ## Mitigação - Aplicar Patch Tuesday de janeiro de 2018 (inclui correções para múltiplas CVEs do EQNEDT32.EXE) - Desabilitar completamente o EQNEDT32.EXE via chave de registro - Habilitar Protected View para documentos de origem externa - Implementar [[m1040-behavior-prevention-on-endpoint|M1040 - Behavior Prevention on Endpoint]] para detecção de processos suspeitos filho do Office - Utilizar [[m1049-antivirus-antimalware|M1049 - Antivirus/Antimalware]] com análise de conteúdo OLE/RTF ## Referências - [Microsoft Security Advisory CVE-2018-0798](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2018-0798) - [NVD - CVE-2018-0798](https://nvd.nist.gov/vuln/detail/CVE-2018-0798) - [MITRE ATT&CK - Equation Editor Exploitation](https://attack.mitre.org/techniques/T1203/)