cve-2010-3962 - RunkIntel

# CVE-2010-3962 > [!high] Internet Explorer CSS Use-After-Free - Zero-Day Explorado em Massa > Segunda vulnerabilidade crítica de zero-day no Internet Explorer em 2010, após Aurora. Use-after-free no processamento de CSS explorado amplamente via drive-by download. Atribuído ao **APT3** em operações de espionagem. ## Visão Geral CVE-2010-3962 é uma vulnerabilidade use-after-free no processamento de CSS (Cascading Style Sheets) do Internet Explorer 6, 7 e 8. A falha ocorre quando o IE processa certos elementos CSS em conjunto com manipulações DOM via JavaScript, resultando no uso de um ponteiro de memória já liberado. A exploração bem-sucedida permite execução remota de código com os privilégios do usuário atual. Assim como o [[cve-2010-0249|CVE-2010-0249]] (Aurora), esta vulnerabilidade foi usada em zero-day e atribuída a operações relacionadas ao [[g0022-apt3|APT3]] e a outros grupos de espionagem com nexo na China. O exploit foi integrado rapidamente em kits de exploit comerciais (Eleonore, Neosploit) e campanhas massivas de watering hole que comprometeram dezenas de milhares de sistemas antes do patch. Representou o segundo zero-day crítico no IE em menos de um ano, intensificando pressão sobre a Microsoft para acelerar ciclos de patch. ## Como Funciona A vulnerabilidade reside na função de processamento de seletores CSS do IE. Quando JavaScript manipula dinâmicamente propriedades CSS de elementos DOM e o garbage collector libera objetos de estilo prematuramente, o IE mantém referências (ponteiros) a memória já liberada. Uma segunda referência a esses objetos resulta em use-after-free. Controlando o heap via spray de JavaScript, o atacante posiciona shellcode no endereço apontado pelo ponteiro reutilizado, obtendo execução de código. ## TTPs Relacionados - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - vetor via página web maliciosa - [[t1059-007-javascript|T1059.007 - JavaScript]] - execução do exploit via JS - [[t1176-browser-extensions|T1176 - Browser Extensions]] - algumas variantes via extensões - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - entrega direcionada > [!latam] Relevância para o Brasil > Em 2010, Internet Explorer era o browser dominante no Brasil e em toda a América Latina, com penetração acima de 60%. Kits de exploit integrando este CVE foram amplamente distribuídos em campanhas de malware financeiro direcionadas ao Brasil naquele período. Este CVE representa uma peça histórica importante no entendimento da evolução das ameaças ao setor financeiro brasileiro. ## Detecção e Defesa - Patch MS10-090 (novembro 2010) - patches emergênciais disponíveis antes - Migração para browsers com isolamento de processos (Chrome, Firefox) - DEP e ASLR reduzem confiabilidade do exploit - [[m1021-restrict-web-based-content|M1021]] - restrição de JavaScript em zonas não confiáveis ## Referências - [Microsoft Advisory MS10-090](https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-090) - [Symantec Analysis CVE-2010-3962](https://symantec.com/security_response/vulnerability.jsp?bid=44536) - [MITRE ATT&CK - APT3 (G0022)](https://attack.mitre.org/groups/G0022/)