# CVE-2010-0249 > [!high] Internet Explorer Zero-Day - Operation Aurora (Google, Adobe, 33 empresas) > Zero-day no Internet Explorer explorado na **Operation Aurora** em 2010, um dos ataques de espionagem corporativa mais significativos da história. Comprometeu Google, Adobe e mais de 33 empresas de tecnologia via uso malicioso de ponteiros inválidos em objetos HTML. ## Visão Geral CVE-2010-0249 é uma vulnerabilidade use-after-free no Internet Explorer (versões 6, 7 e 8) que foi explorada como zero-day na famosa [[operation-aurora|Operation Aurora]] - a campanha de espionagem corporativa atribuída ao [[g0022-apt3|APT3]] e a outros grupos vinculados à China. A operação visou pelo menos 34 empresas de tecnologia americanas, incluindo Google, Adobe, Juniper Networks e Symantec, com objetivo primário de roubar código-fonte e acessar contas Gmail de dissidentes chineses. A Operation Aurora marcou um ponto de inflexão na percepção pública sobre ameaças de espionagem patrocinadas por Estados nacionais, levando o Google a anunciar públicamente o ataque e subsequentemente a encerrar suas operações de busca na China. A vulnerabilidade foi explorada via drive-by download: vítimas eram direcionadas a páginas web comprometidas que executavam o exploit silenciosamente. O ataque revelou a sofisticação das operações de inteligência cibernética chinesas muito antes que isso fosse amplamente reconhecido. ## Como Funciona A falha é um use-after-free no mecanismo de renderização do IE. Quando o browser processa código JavaScript que manipula objetos `onmouseover` em conjunto com operações de desanexação de eventos DOM, cria-se uma condição em que um ponteiro para um objeto HTML liberado é reutilizado. O atacante controla o heap através de spray e direciona a execução para shellcode. A exploração era confiável em IE6 e IE7 no Windows XP, o sistema operacional dominante em 2010. ## TTPs Relacionados - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - vetor de infecção - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - link para página maliciosa - [[t1059-007-javascript|T1059.007 - JavaScript]] - execução do exploit - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - reconhecimento pós-compromisso ## Impacto Histórico Aurora foi um evento definidor para a indústria de cibersegurança. Demonstrou que grupos APT patrocinados por Estados podiam comprometer alvos de alto perfil através de zero-days sofisticados e operar por meses sem detecção. As lições aprendidas moldaram práticas de threat intelligence, divulgação responsável e resposta a incidentes por anos após o evento. ## Detecção e Defesa - Patch emergêncial MS10-002 (janeiro 2010) - Migração para navegadores modernos com sandbox (Chrome, Firefox, Edge) - [[m1021-restrict-web-based-content|M1021]] - bloquear execução de scripts em zonas não confiáveis - DEP (Data Execution Prevention) mitigava parcialmente o exploit ## Referências - [Google Blog - Operation Aurora Disclosure](https://googleblog.blogspot.com/2010/01/new-approach-to-china.html) - [McAfee - Operation Aurora Analysis](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/operation-aurora-who-is-behind-the-attacks/) - [MITRE ATT&CK - T1189](https://attack.mitre.org/techniques/T1189/)