# CVE-2018-0802 > [!high] RCE no Microsoft Office via Editor de Equações (EQNEDT32.EXE) > CVE-2018-0802 é uma vulnerabilidade de execução remota de código no **Equation Editor** do Microsoft Office, componente legado que data de 2000 e nunca recebeu atualização de segurança. Documentos Word maliciosos exploram a falha para execução automática de código ao abrir o arquivo. ## Visão Geral CVE-2018-0802 afeta o **EQNEDT32.EXE**, o antigo Editor de Equações do Microsoft Office incluído em versões do Office desde o Office 97. Este componente, construído em 2000 e nunca atualizado, contém múltiplas vulnerabilidades que permitem execução de código ao processar equações matemáticas maliciosas incorporadas em documentos Office. A vulnerabilidade é particularmente perigosa porque o Editor de Equações executa como um processo separado sem as proteções modernas do Office (ASLR/DEP) e sem sandboxing. Documentos Word maliciosos com equações embutidas são usados em campanhas de phishing que contornam detecções modernas por não exigirem macros (bloqueadas por políticas organizacionais). O grupo **Patchwork** (Dropping Elephant), APT de origem indiana focado em espionagem no sul da Ásia, explorou CVE-2018-0802 em campanhas de spear-phishing direcionadas. A vulnerabilidade tornou-se parte padrão de kit de ferramentas de múltiplos grupos APT e criminal. > [!latam] Relevância para Brasil e LATAM > CVE-2018-0802 foi amplamente observada em campanhas de phishing no Brasil, especialmente em ataques a funcionários de governo, militares e setor financeiro. Documentos Word com "relatórios" ou "notificações fiscais" incorporando equações maliciosas foram vetor preferêncial por contornar políticas de bloqueio de macros presentes em muitas organizações brasileiras. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | Memory Corruption / Remote Code Execution | | Componente | EQNEDT32.EXE (Microsoft Equation Editor) | | Vetor | Documento Office malicioso (.doc, .rtf) | | Proteções ausentes | Sem ASLR/DEP no processo legado | | CVSS | 7.8 (High) | | CISA KEV | Sim | ## TTPs Relacionadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] ## Mitigação - Aplicar o Patch Tuesday de janeiro de 2018 e desativar completamente o EQNEDT32.EXE - Desabilitar Editor de Equações via registro: `HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility` - Habilitar Protected View e Application Guard para documentos de fontes externas - Aplicar [[m1040-behavior-prevention-on-endpoint|M1040 - Behavior Prevention on Endpoint]] para detectar execução de processos filho do Office - Usar [[m1049-antivirus-antimalware|M1049 - Antivirus/Antimalware]] com análise de conteúdo OLE ## Referências - [360 CoreSecurity - EQNEDT32 Analysis](https://360coresec.blogspot.com/2018/01/CVE-2018-0802-another-equation-editor.html) - [CISA KEV - CVE-2018-0802](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Microsoft Security Bulletin MS18-0007](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2018-0802) - [NVD - CVE-2018-0802](https://nvd.nist.gov/vuln/detail/CVE-2018-0802)