> [!danger] CVSS 9.8 - Crítico > Use-after-free no Primetime SDK do Adobe Flash Player permite execução de código arbitrário. Explorado como zero-day em janeiro-fevereiro de 2018. > [!warning] CISA KEV - Exploração Ativa Confirmada > Adicionada ao catálogo CISA KEV em 2021-11-03. Produto em EOL - desconectar se ainda em uso. > [!danger] EOL - Produto Descontinuado > Adobe Flash Player atingiu End-of-Life em 31 de dezembro de 2020. Remover imediatamente de todos os sistemas. # CVE-2018-4878 - Adobe Flash Player Use-After-Free RCE (Primetime SDK) > CVSS: 9.8 · EPSS: 93% · Vendor: Adobe · Patch: Sim · CISA KEV: Sim · EOL: Sim ## Resumo **CVE-2018-4878** é uma vulnerabilidade crítica de **use-after-free** (CWE-416) no **Adobe Flash Player** anterior à versão 28.0.0.161. A falha reside no **Primetime SDK**, específicamente no tratamento de objetos listener pelo componente de media player. A exploração permite execução de código arbitrário no sistema da vítima. A vulnerabilidade foi identificada sendo explorada ativamente como **zero-day em janeiro e fevereiro de 2018**, associada primariamente ao grupo norte-coreano **[[g0032-lazarus-group]]** em campanhas contra alvos sul-coreanos - incluindo usuários de criptomoedas e organizações financeiras. A TrendMicro reportou atribuição ao grupo norte-coreano em análise detalhada da campanha. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: **93%** de probabilidade de exploração - CISA KEV: adicionado em 2021-11-03 (produto EOL - desconectar) - Zero-day explorado ativamente: janeiro-fevereiro de 2018 ## Detalhes Técnicos A falha de use-after-free ocorre quando memória previamente liberada é reutilizada de forma insegura: 1. **Ponteiro dangling:** O SDK Primetime do Flash Player mantém um ponteiro para um objeto listener após sua liberação da memória 2. **Alocação reutilizada:** A memória liberada pode ser alocada novamente e controlada pelo atacante 3. **Execução arbitrária:** Operações subsequentes via ponteiro inválido permitem ao atacante executar código com os privilégios do processo Flash 4. **Vetor de entrega:** Exploit embarcado em documentos Office (principalmente planilhas Excel) distribuídos via spear-phishing A vulnerabilidade foi distribuída como exploit em documentos Microsoft Excel com objetos Flash embutidos - uma técnica sofisticada que bypassa múltiplas camadas de defesa. ## Exploração **Status atual:** Vulnerabilidade histórica - produto EOL desde 31/12/2020. Risco atual apenas em sistemas legados. **Grupos de ameaça utilizando:** - [[g0032-lazarus-group]] - Lazarus (DPRK/Coreia do Norte) - explorou como zero-day contra alvos sul-coreanos, especialmente bolsas de criptomoedas e organizações financeiras - [[g0067-apt37]] - Reaper/ScarCruft (Coreia do Norte) - também atribuído por alguns pesquisadores ao uso desta vulnerabilidade em campanhas na região **TTPs relacionadas:** - [[t1566-phishing|T1566 - Phishing]] - entrega via spear-phishing com documento Excel malicioso - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - exploração via objeto Flash em documento - [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - execução pós-exploração ## Contexto LATAM > [!latam] Adobe Flash e Legado Digital na América Latina > O Adobe Flash Player permaneceu em uso ativo por anos além do seu EOL em mercados da América Latina, especialmente em sistemas governamentais legados, portais bancários antigos e ambientes educacionais com infraestrutura defasada no **Brasil, Argentina e Peru**. O CVE-2018-4878 representa um risco residual em organizações que ainda operam Flash em sistemas isolados ou em modo quiosque. > > O **Lazarus Group** (DPRK), principal ator atribuído à exploração deste zero-day, mantém interesse ativo em alvos financeiros brasileiros e latino-americanos — com campanhas documentadas contra bolsas de criptomoedas e plataformas de pagamento da região entre 2021 e 2024. Embora o vetor Flash esteja obsoleto, os TTPs do grupo evoluíram e continuam relevantes para defesa proativa. ## Mitigação **Para sistemas legados ainda com Flash:** - Desinstalar o Adobe Flash Player imediatamente - produto EOL desde 31/12/2020 - A própria Adobe bloqueia conteúdo Flash desde 12/01/2021 **Se impossível remover:** - Aplicar patch para versão 28.0.0.161 (versão mais recente antes do EOL) - Desabilitar Flash em todos os navegadores via configuração de política de grupo - Advisory Adobe: [APSB18-03](https://helpx.adobe.com/security/products/flash-player/apsb18-03.html) ## Notas Relacionadas **CVEs relacionados:** [[cve-2018-4990|CVE-2018-4990]] · [[cve-2018-4877|CVE-2018-4877]] **Atores explorando:** [[g0032-lazarus-group]] · [[g0067-apt37]] **TTPs relacionadas:** [[t1566-phishing|T1566 - Phishing]] · [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] **Setores em risco:** [[financial]] · [[cryptocurrency|criptomoedas]] · [[government]] ## Referências - [NVD - CVE-2018-4878](https://nvd.nist.gov/vuln/detail/CVE-2018-4878) - [Adobe Security Bulletin APSB18-03](https://helpx.adobe.com/security/products/flash-player/apsb18-03.html) - [TrendMicro - North Korean Hackers CVE-2018-4878](https://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/north-korean-hackers-allegedly-exploit-adobe-flash-player-vulnerability-CVE-2018-4878-against-south-korean-targets) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)