# Operation Double Tap > [!danger] APT3 combina duas vulnerabilidades criticas do Windows em novembro de 2014 > A Operation Double Tap foi uma campanha do grupo chines **APT3 (Gothic Panda)** em novembro de 2014, notavel por utilizar **duas vulnerabilidades simultaneamente**: CVE-2014-6332 (bug de 18 anos no Windows OLE) e CVE-2014-4113 (escalonamento de privilegios). A campanha, documentada pela FireEye, marcou uma transicao do grupo: do uso de zero-days em browsers para exploits em componentes do proprio sistema operacional Windows. ## Visão Geral A Operation Double Tap foi detectada pela FireEye em novembro de 2014 e e notavel por tres caracteristicas distintas: o uso de duas vulnerabilidades em cadeia, o aproveitamento de um bug de 18 anos no Windows, e o uso de emails com tema adulto como lure de spear-phishing. A primeira vulnerabilidade, [[cve-2014-6332|CVE-2014-6332]], era um bug no componente Windows OLE (Object Linking and Embedding) que havia permanecido sem detecção por 18 anos desde sua introdução no código do Windows. A falha permitia execução remota de código via Internet Explorer quando o usuario abria uma pagina web com conteudo OLE especialmente criado. A segunda, [[cve-2014-4113|CVE-2014-4113]], era uma vulnerabilidade de escalonamento de privilegios no kernel do Windows, utilizada para elevar os privilegios do processo comprometido para SYSTEM - dando ao atacante controle total do sistema. O grupo [[g0022-apt3|APT3]] enviou emails de spear-phishing com PDFs maliciosos e links que levavam a paginas web explorando o CVE-2014-6332. Após a execução inicial, o CVE-2014-4113 era utilizado para escalonar privilegios, e então o malware Shotput (também conhecido como CookieCutter) era instalado como backdoor principal. A escolha de usar exploits em vulnerabilidades recentemente patcadas (ao inves de zero-days) representou uma evolução tática do grupo: demonstrou que o APT3 era capaz de adaptar rapicamente seus TTPs para vulnerabilidades recentemente divulgadas, presumindo que muitas organizacoes-alvo demoravam a aplicar patches - uma hipotese geralmente correta. ## Attack Flow ```mermaid graph TB A["Spear-phishing com tema adulto<br/>Email imitando Playboy<br/>PDF malicioso ou link"] --> B["Exploração CVE-2014-6332<br/>Bug de 18 anos no Windows OLE<br/>via Internet Explorer"] B --> C["Execução de código<br/>no contexto do processo IE<br/>sem privilegios elevados"] C --> D["Escalonamento de privilegios<br/>CVE-2014-4113 no kernel<br/>Elevação para SYSTEM"] D --> E["Implantação do Shotput<br/>Backdoor persistente<br/>com privilegios SYSTEM"] E --> F["Persistência garantida<br/>Registro e/ou servico do Windows<br/>para sobreviver ao reboot"] F --> G["Beaconing para C2<br/>Comúnicação HTTP/HTTPS<br/>com infraestrutura APT3"] ``` ## Dupla Vulnerabilidade em Cadeia ```mermaid graph TB subgraph Vuln1["CVE-2014-6332 - Windows OLE"] V1A["Bug existia desde 1996<br/>18 anos sem detecção<br/>Afeta Windows XP a 10"] V1B["Tipo: execução remota de código<br/>Via Internet Explorer<br/>Sem privilegios necessários"] V1C["Patch: MS14-064<br/>Novembro 2014<br/>Patch Tuesday"] end subgraph Vuln2["CVE-2014-4113 - Kernel Windows"] V2A["Privilege escalation<br/>no win32k.sys<br/>Afeta Windows 2003 a Server 2012"] V2B["Eleva processo comprometido<br/>para nivel SYSTEM<br/>Controle total do host"] V2C["Patch: MS14-058<br/>Outubro 2014<br/>Patch Tuesday"] end V1B -->|"Primeiro: acesso inicial"| V2A V2B -->|"Resultado: controle total"| V2A ``` ## Técnicas Utilizadas (MITRE ATT&CK) - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - Exploração do CVE-2014-6332 no Windows OLE via IE para execução de código - [[t1566-phishing|T1566 - Phishing]] - Spear-phishing com PDFs maliciosos e links para paginas de exploração - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - CVE-2014-4113 para escalonar para privilegios SYSTEM - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - C2 via HTTP/HTTPS - [[t1547-boot-logon-autostart-execution|T1547 - Boot or Logon Autostart Execution]] - Persistência via registro ou servico do Windows - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - Execução de comandos pos-comprometimento - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - Ofuscacao de payloads para evasão de antivirus ## Software Utilizado - [[pirpi]] - Backdoor customizado do APT3, implantado em algumas variantes da campanha - [[s0063-shotput]] - Backdoor principal (também chamado CookieCutter), implantado com privilegios SYSTEM após escalonamento - [[cve-2014-6332|CVE-2014-6332]] - Bug de 18 anos no Windows OLE, vetor de acesso inicial - [[cve-2014-4113|CVE-2014-4113]] - Escalonamento de privilegios no kernel Windows para nivel SYSTEM ## Impacto A Operation Double Tap e relevante por demonstrar a adaptabilidade tática do APT3 e pela descoberta de um bug historico: - O CVE-2014-6332 revelou que bugs podem existir por decadas em código legado de sistemas operacionais amplamente usados - Alvos nos setores de [[defense|defesa]], [[technology|tecnologia]] e [[government|governo]] nos EUA e Reino Unido - A campanha demonstrou que grupos APT monitoram ativamente os Patch Tuesdays da Microsoft para operacionalizar vulnerabilidades recentemente corrigidas - O uso de dois exploits em cadeia para garantir privilegios SYSTEM maximiza o impacto do comprometimento - O uso de lures de conteudo adulto demonstra engenharia social sofisticada voltada para contornar treinamentos de segurança padrao ## Relevância LATAM/Brasil Embora a Operation Double Tap nao tenha documentacao de alvos no Brasil, os ensinamentos sao relevantes: - O CVE-2014-6332 afetava versoes do Windows amplamente usadas no Brasil em 2014 (XP, 7, 8) - O modelo de exploração - usar vulnerabilidades recentemente patcadas contando com atraso na aplicação de patches - e altamente aplicavel ao contexto brasileiro - Organizacoes governamentais e militares brasileiras (Ministerio da Defesa, Forcas Armadas, ABIN) sao alvos potenciais de grupos com TTPs similares - O bug de 18 anos no Windows OLE e um lembrete de que vulnerabilidades antigas em código legado permanecem relevantes em sistemas sem manutenção adequada ## Detecção e Defesa **Deteccoes recomendadas:** - Monitorar tentativas de exploração do Windows OLE via Internet Explorer em logs de EDR - Detectar chamadas de sistema associadas ao win32k.sys após execução de browser (indicador de escalonamento de privilegio) - Alertar sobre processos de browser que criam arquivos executaveis no disco ou modificam o registro em caminhos de autorun - Network: detectar beacons HTTP para dominios de baixa reputacao após interação com conteudo web **Mitigacoes:** - Aplicar patches MS14-064 e MS14-058 imediatamente em todos os sistemas Windows - Implementar gestao de patches com SLA máximo de 30 dias para vulnerabilidades criticas - Desabilitar o Internet Explorer em ambientes corporativos e migrar para browsers modernos - Segmentacao de rede para limitar dano de um comprometimento com privilegios SYSTEM - Monitoramento comportamental de processos com privilegios elevados inesperados **Mitigacoes MITRE:** [[m1050-exploit-protection|M1050]] · [[m1051-update-software|M1051]] · [[m1038-execution-prevention|M1038]] ## Referências - [1](https://www.fireeye.com/blog/threat-research/2014/11/operation-double-tap.html) FireEye - Operation Double Tap: CVE-2014-6332 and CVE-2014-4113 (2014) - [2](https://attack.mitre.org/groups/G0022/) MITRE ATT&CK - APT3 G0022 (2023) - [3](https://nvd.nist.gov/vuln/detail/CVE-2014-6332) NVD - CVE-2014-6332 Windows OLE Remote Code Execution (2014) - [4](https://nvd.nist.gov/vuln/detail/CVE-2014-4113) NVD - CVE-2014-4113 Windows Privilege Escalation (2014) - [5](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2014-6332) Microsoft MSRC - MS14-064 Windows OLE Advisory (2014)