cve-2018-4990 - RunkIntel

# CVE-2018-4990 - Adobe Acrobat Double-Free Remote Code Execution > [!high] CVSS 8.8 - CISA KEV - Exploit Público Disponível > Double-free no Adobe Acrobat DC e Reader DC permite execução de código arbitrário via PDF malicioso. Adicionada ao CISA KEV em junho de 2022 com exploit público no Exploit-DB. Explorada pelo APT28 em operações de espionagem. ## Visão Geral O **CVE-2018-4990** é uma vulnerabilidade de **double-free** (CWE-415) no **Adobe Acrobat DC** e **Acrobat Reader DC**, dois dos leitores de PDF mais amplamente utilizados em ambientes corporativos e governamentais ao redor do mundo. A falha ocorre quando o motor de processamento de PDF aciona a liberação dupla do mesmo endereço de memória durante o parsing de documentos especialmente elaborados, permitindo que um atacante corrumpa o heap e redirecione a execução para código arbitrário. A vulnerabilidade foi corrigida pela Adobe em maio de 2018 como parte do Security Bulletin APSB18-09, que endereçou 39 vulnerabilidades de segurança no Acrobat e Reader. No entanto, a CISA só a adicionou ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) em junho de 2022, confirmando que grupos de ameaça persistente avançada - incluindo o [[g0007-apt28|APT28]] - continuaram a explorar ambientes não atualizados anos após o patch. Um exploit público está disponível no Exploit-DB (#44412), tornando a exploração acessível mesmo a atores menos sofisticados. O PDF é um vetor de ataque historicamente eficaz para operações de espionagem por ser universalmente aceito em ambientes corporativos e governamentais, raramente bloqueado por controles de e-mail, e frequentemente aberto sem reflexão em fluxos de trabalho normais. A combinação de CVSS 8.8 e exploit público disponível torna esta CVE relevante mesmo anos após o patch, em organizações que não mantêm atualizações regulares. ## Produtos Afetados | Produto | Versão Afetada | Versão Corrigida | |---------|---------------|-----------------| | Acrobat DC Continuous | 15.008.20082 a 2018.011.20038 | 2018.011.20040+ | | Acrobat DC Classic 2017 | 17.011.30059 a 17.011.30079 | 2017.011.30080+ | | Acrobat DC Classic 2015 | 15.006.30060 a 15.006.30417 | 2015.006.30418+ | | Acrobat Reader DC Continuous | Mesmas versões do Acrobat DC | Mesma correção | | Acrobat Reader DC Classic 2017/2015 | Mesmas versões | Mesma correção | ## Descrição Técnica O double-free ocorre durante o processamento de documentos PDF com estruturas especialmente elaboradas: 1. **Double-free (CWE-415):** O processador de PDF do Acrobat chama `free()` duas vezes no mesmo endereço de memória 2. **Corrupção de heap:** A dupla liberação corrompe as estruturas de gerenciamento de heap 3. **Controle de execução:** Com técnicas de heap spraying, o atacante pode controlar o ponteiro após a segunda liberação 4. **Execução de código:** Redirecionamento da execução para shellcode do atacante no contexto do usuário atual 5. **Vetor de entrega:** PDF malicioso distribuído via spear-phishing ou download drive-by ## Exploração e Contexto de Ameaça O [[g0007-apt28|APT28]] (Fancy Bear / Sofacy) tem histórico documentado de exploração de vulnerabilidades Adobe para entrega de implantes em operações de espionagem contra alvos nos setores [[government]] e [[defense]]. A técnica de double-free em leitores de PDF é particularmente eficaz em organizações com políticas permissivas de abertura de anexos. Após a disponibilização do exploit público no Exploit-DB (#44412), a barreira de exploração diminuiu significativamente, abrindo espaço para atores de ransomware e grupos de crime cibernético utilizarem a técnica como parte de cadeia de ataque mais ampla via [[t1566-phishing|T1566 - Phishing]]. **TTPs associadas:** - [[t1566-phishing|T1566 - Phishing]] - entrega de PDF malicioso via spear-phishing - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - exploração do Acrobat Reader no cliente - [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - execução de payload pós-exploração ## Contexto LATAM > [!latam] Impacto no Brasil e América Latina > O Adobe Acrobat Reader é amplamente utilizado em órgãos governamentais brasileiros, escritórios de advocacia, contabilidade e setores regulados (financeiro, saúde) - precisamente os alvos preferênciais de grupos de espionagem como o APT28. A distribuição de PDFs maliciosos disfarçados de documentos judiciais, contratos ou faturas é uma técnica amplamente utilizada em campanhas de phishing direcionadas ao Brasil. Organizações que não mantêm ciclos regulares de atualização do Adobe Reader - comum em ambientes com restrições de licenciamento - permanecem vulneráveis anos após o patch. O CERT.br e a ANPD recomendam a atualização imediata de softwares de leitura de PDF como medida preventiva obrigatória. ## Mitigação **Patch oficial (Adobe APSB18-09):** - Acrobat DC Continuous: atualizar para 2018.011.20040+ - Acrobat DC Classic 2017: atualizar para 2017.011.30080+ - Acrobat DC Classic 2015: atualizar para 2015.006.30418+ **Ações defensivas adicionais:** 1. Aplicar atualizações do Adobe Acrobat/Reader imediatamente 2. Habilitar **Adobe Protected Mode** (sandbox) para PDFs não confiáveis 3. Configurar Adobe Reader para não abrir PDFs de fontes externas sem confirmação 4. Considerar leitores de PDF alternativos com menor superfície de ataque para uso geral 5. Monitorar execução anômala de processos filhos do `AcroRd32.exe` ou `Acrobat.exe` 6. Implementar regras de e-mail para bloquear PDFs com JavaScript embutido ## Notas Relacionadas **CVEs relacionados:** [[cve-2018-4878|CVE-2018-4878]] · [[cve-2017-11882|CVE-2017-11882]] **Atores explorando:** [[g0007-apt28|APT28]] **TTPs relacionadas:** [[t1566-phishing|T1566 - Phishing]] · [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] **Setores em risco:** [[government]] · [[defense]] · [[financial]] ## Referências - [NVD - CVE-2018-4990](https://nvd.nist.gov/vuln/detail/CVE-2018-4990) - [Adobe Security Bulletin APSB18-09](https://helpx.adobe.com/security/products/acrobat/apsb18-09.html) - [CERT-EU Advisory CERT-EU-SA2018-015](https://cert.europa.eu/static/security-advisories/CERT-EU-SA2018-015.pdf) - [Exploit-DB #44412](https://www.exploit-db.com/exploits/44412) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)