# CVE-2018-4877 > [!critical] Zero-Day no Adobe Flash Explorado pelo Lazarus Group (Coreia do Norte) > CVE-2018-4877 é um zero-day use-after-free no Adobe Flash Player explorado ativamente pelo **Lazarus Group** em campanhas de espionagem e sabotagem. O exploit foi entregue via documentos Excel maliciosos, com o Flash embutido executando código ao abrir o arquivo. ## Visão Geral CVE-2018-4877 é um zero-day de use-after-free no **Adobe Flash Player** explorado pelo grupo norte-coreano **Lazarus Group** em campanhas de espionagem em 2018. A descoberta foi feita por pesquisadores sul-coreanos que identificaram documentos Excel maliciosos com Flash embutido sendo utilizados em ataques direcionados antes do patch público. A Adobe lançou patch de emergência fora do ciclo regular em fevereiro de 2018, apenas dias após o relatório inicial. O exploit aproveitava o suporte de Flash em documentos Office para executar código ao abrir um arquivo Excel malicioso, sem necessidade de navegador. O Lazarus Group, o principal grupo APT da Coreia do Norte com histórico de operações financeiras e espionagem global, foi formalmente atribuído como responsável pela exploração zero-day. Este incidente se tornou emblemático da capacidade operacional norte-coreana de desenvolver e implantar zero-days contra alvos estratégicos, além de representar uma das últimas grandes campanhas antes do fim definitivo do suporte ao Flash em 2020. > [!latam] Relevância para Brasil e LATAM > O Lazarus Group tem histórico documentado de operações financeiras na América Latina, incluindo o famoso roubo do Banco Central do Bangladesh via SWIFT e ataques a bancos mexicanos e chilenos. Exploits como CVE-2018-4877 foram utilizados em campanhas de reconhecimento contra instituições financeiras de alto valor em toda a região. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | Use-After-Free / Remote Code Execution | | Produto | Adobe Flash Player | | Vetor | Documento Excel com Flash embutido | | Zero-day | Sim, explorado antes do patch | | Atribuição | Lazarus Group (Coreia do Norte) | | CVSS | 8.8 (High) | | CISA KEV | Sim | ## TTPs Relacionadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1059-005-visual-basic|T1059 - Command and Scripting Interpreter]] - [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] ## Mitigação - Remover Adobe Flash Player completamente (EOL desde dezembro de 2020) - Se Flash ainda presente, aplicar patch 28.0.0.137 imediatamente - Bloquear execução de Flash em documentos Office via política de grupo - Usar [[m1021-restrict-web-based-content|M1021 - Restrict Web-Based Content]] para bloquear conteúdo Flash em navegadores - Implementar [[m1048-application-isolation-and-sandboxing|M1048 - Application Isolation and Sandboxing]] para documentos Office ## Referências - [Adobe Security Bulletin APSB18-03](https://helpx.adobe.com/security/products/flash-player/apsb18-03.html) - [CISA KEV - CVE-2018-4877](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [NVD - CVE-2018-4877](https://nvd.nist.gov/vuln/detail/CVE-2018-4877)