# CVE-2018-8174 > [!high] Double Kill - Zero-Day no VBScript do Windows via Internet Explorer > CVE-2018-8174, apelidado de **Double Kill**, é um zero-day de use-after-free no mecanismo VBScript do Windows explorado através do Internet Explorer. Descoberto inicialmente em campanhas APT direcionadas, o exploit pode ser entregue via documento Office malicioso ou página web, sem necessidade de interação além da abertura do arquivo. ## Visão Geral CVE-2018-8174 é uma vulnerabilidade use-after-free no **Windows VBScript Engine**, componente do Internet Explorer que permanece presente no Windows mesmo quando o IE não é o navegador padrão. A falha permite execução de código remoto quando um usuário visita uma página web maliciosa ou abre um documento Office com conteúdo HTML incorporado. A vulnerabilidade foi apelidada de **"Double Kill"** por pesquisadores da Qihoo 360 que a descobriram em exploração ativa zero-day em abril de 2018. A Microsoft lançou patch em maio de 2018. O exploit era especialmente efetivo por funcionar não apenas no Internet Explorer mas também via documentos Word com ActiveX, contornando muitas defesas baseadas em navegador. Grupos APT exploraram esta vulnerabilidade em campanhas de spear-phishing sofisticadas. O vetor via documentos Office é particularmente perigoso pois a vítima não precisa usar o Internet Explorer - apenas abrir um documento Word com conteúdo HTML incorporado dispara o exploit. > [!latam] Relevância para Brasil e LATAM > Ataques de phishing direcionados a executivos brasileiros utilizaram documentos Office maliciosos explorando vulnerabilidades VBScript do Windows. A disponibilidade de exploit kits comerciais que incluíram CVE-2018-8174 elevou o risco para organizações latinoamericanas com sistemas Windows desatualizados, comum em pequenas e médias empresas da região. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | Use-After-Free / Remote Code Execution | | Motor | Windows VBScript Engine | | Vetores | Internet Explorer + documentos Office com ActiveX/HTML | | Zero-day | Sim, explorado antes do patch público | | CVSS | 7.5 (High) | | CISA KEV | Sim | ## TTPs Relacionadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] ## Mitigação - Aplicar o Patch Tuesday de maio de 2018 imediatamente - Desabilitar o mecanismo VBScript no Internet Explorer para zonas de Internet e Intranet - Implementar proteção contra exploits via Windows Defender Exploit Guard - Usar [[m1021-restrict-web-based-content|M1021 - Restrict Web-Based Content]] para bloquear ActiveX não confiável - Aplicar [[m1048-application-isolation-and-sandboxing|M1048 - Application Isolation and Sandboxing]] para documentos Office ## Referências - [Qihoo 360 - Double Kill Discovery](https://blog.360totalsecurity.com/en/CVE-2018-8174-vbscript-vulnerability-analysis/) - [Microsoft Security Bulletin MS18-0708](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2018-8174) - [CISA KEV - CVE-2018-8174](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [NVD - CVE-2018-8174](https://nvd.nist.gov/vuln/detail/CVE-2018-8174)