# CVE-2025-8088 > [!high] Use-After-Free no Firefox Explorado pelo RomCom - CVSS 8.8 > Vulnerabilidade use-after-free no Mozilla Firefox explorada pelo grupo RomCom (UNC2596/Storm-0978) em ataques drive-by, permitindo execução de código no processo do browser via página web maliciosa. ## Visão Geral A [[cve-2025-8088|CVE-2025-8088]] é uma vulnerabilidade de **use-after-free** no Mozilla Firefox que permite execução de código arbitrário ao visitar uma página web maliciosa. O grupo [[romcom-group|RomCom]] (também conhecido como UNC2596 ou Storm-0978), ator de ameaça russo com motivações mistas de espionagem e crime financeiro, foi documentado explorando esta vulnerabilidade em ataques drive-by contra alvos na Europa e América do Norte. O RomCom tem histórico de explorar zero-days em browsers populares para distribuir o [[romcom-rat|RomCom RAT]], um backdoor sofisticado com capacidades extensas de espionagem. O grupo tem foco em organizações governamentais, defesa e infraestrutura crítica, mas também realiza operações de ransomware via afiliados do Cuba ransomware. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Use-After-Free no motor de renderização | | Componente | Mozilla Firefox - engine de renderização | | Vetor | Rede - requer visita a página maliciosa | | Impacto | RCE no processo do browser | | Exploit chain | Frequentemente combinado com sandbox escape | ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1189-drive-by-compromise\|T1189]] | Drive-by via página web maliciosa | | [[t1566-002-spearphishing-link\|T1566.002]] | Link malicioso enviado por spear-phishing | | [[t1055-process-injection\|T1055]] | Injeção de código pós-exploração Firefox | | [[t1102-web-service\|T1102]] | RomCom RAT usando C2 via serviços web legítimos | ## Detecção e Defesa **Mitigações:** - Atualizar Firefox para versão 136 ou superior - [[m1051-update-software\|M1051]] - Habilitar atualizações automáticas do Firefox - [[m1021-restrict-web-based-content\|M1021]] - Web proxy para filtrar sites maliciosos - Monitorar processos filhos spawned por Firefox - [[m1048-application-isolation-and-sandboxing\|M1048]] - Validar que modo de sandbox do Firefox está ativo > [!latam] Relevância para Brasil e LATAM > O Firefox é utilizado por profissionais de segurança e desenvolvedores no Brasil. O RomCom tem interesse específico em organizações governamentais e do setor de defesa. Embora o foco primário seja Europa Oriental e América do Norte, o grupo realiza campanhas oportunistas globais. Organizações brasileiras com presença internacional ou parceiros em regiões de conflito devem estar alertas para campanhas de spear-phishing entregando exploits Firefox. ## Referências - [Mozilla Security Advisory MFSA2025-XX](https://www.mozilla.org/en-US/security/advisories/) - [NVD - CVE-2025-8088](https://nvd.nist.gov/vuln/detail/CVE-2025-8088) - [ESET Research - RomCom Firefox](https://www.welivesecurity.com/en/)