# CVE-2021-28310 - Windows DWM: Escalada de Privilégio Zero-Day (BITTER APT) > [!high] CVE-2021-28310 é um zero-day de escalada de privilégio no Windows Desktop Window Manager (DWM) — explorado pelo grupo APT sul-asiático BITTER em operações direcionadas, permitindo que malware com privilégios de usuário eleve para SYSTEM. ## Visão Geral CVE-2021-28310 é uma vulnerabilidade de **out-of-bounds write** no componente **Desktop Window Manager (DWM)** do Windows, específicamente na biblioteca `dwmcore.dll`. A falha permite que um processo com privilégios de usuário comum execute código com privilégios de `NT AUTHORITY\SYSTEM`, completando uma cadeia de ataque típica de acesso inicial + escalada local. A vulnerabilidade foi descoberta e reportada como zero-day pelo Kaspersky após identificar sua exploração em campanhas do grupo **BITTER**, um APT sul-asiático com foco em alvos do setor de energia, governo e defesa. O DWM é responsável pelo gerenciamento da composição da interface gráfica do Windows, rodando com altos privilégios, tornando-o um alvo atraente para exploração de LPE. Este padrão — explorar falhas no subsistema gráfico do Windows para LPE — é recorrente em zero-days, incluindo CVE-2021-1732 (outro DWM zero-day) e CVE-2018-8453 (Win32k), frequentemente usados como segunda etapa em cadeias de ataque de APT. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Out-of-bounds write (escalada de privilégio) | | Componente | dwmcore.dll (Desktop Window Manager) | | Autenticação | Requerida (usuário local) | | Resultado | SYSTEM privilege | | Descoberta | Kaspersky — zero-day em campo | ## TTPs Relacionadas - [[t1068-exploitation-for-privilege-escalation|T1068]] - Exploração para escalada de privilégio - [[t1059-powershell|T1059.001]] - Execução de payload pós-escalada - [[t1548-002-bypass-user-account-control|T1548.002]] - Bypass UAC via privilégio SYSTEM - [[m1051-update-software|M1051]] - Manter Windows atualizado ## Contexto LATAM > [!latam] Vulnerabilidades de escalada de privilégio locais como CVE-2021-28310 são componentes essenciais em ataques direcionados a organizações governamentais e do setor de energia na América Latina. O grupo BITTER expandiu suas operações para além do sul asiático, e padrões similares de LPE são usados por grupos APT que visam infraestrutura crítica brasileira. ## Detecção e Defesa **Mitigações recomendadas:** - Aplicar patch do Patch Tuesday de abril de 2021 (KB5001330) - Monitorar criação de processos com elevação de privilégio inesperada - Implementar Exploit Protection via Windows Defender ATP - Manter Windows e componentes do sistema operacional atualizados ## Referências - [Microsoft CVE-2021-28310](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28310) - [Kaspersky — Zero-Day in Desktop Window Manager](https://securelist.com/zero-day-vulnerability-in-desktop-window-manager-CVE-2021-28310-used-in-the-wild/101752/) - [NVD CVE-2021-28310](https://nvd.nist.gov/vuln/detail/CVE-2021-28310)