# CVE-2014-1776 - Internet Explorer Zero-Day RCE (Operation Clandestine Fox) > [!critical] CVSS 10.0 - Zero-Day RCE no Internet Explorer (todas as versões) > Vulnerabilidade use-after-free crítica explorada como zero-day pelo grupo APT3 (Gothic Panda) na Operation Clandestine Fox - afetava todas as versões do IE de 6 a 11 incluindo Windows XP sem suporte. ## Visão Geral A [[cve-2014-1776|CVE-2014-1776]] é uma vulnerabilidade crítica **zero-day** de **use-after-free** no **Internet Explorer**, afetando todas as versões de IE 6 a IE 11. Com CVSS 10.0 (máximo), foi explorada ativamente pelo grupo de espionagem chinês **[[g0022-apt3|APT3]]** (também conhecido como Gothic Panda, UPS Team) na **Operation Clandestine Fox**, campanha de espionagem contra alvos de defesa e tecnologia americanos divulgada pela FireEye em abril de 2014. A Microsoft lançou um patch de emergência (fora do ciclo Patch Tuesday) em 1 de maio de 2014 para todas as versões suportadas do IE. Controvérsialmente, a empresa inicialmente não lançou patch para Windows XP, que tinha chegado ao End-of-Life poucos dias antes (8 de abril de 2014) - mas posteriormente cedeu à pressão pública e lançou patch também para o XP. > [!latam] Impacto LATAM > A Operation Clandestine Fox demonstrou como zero-days de navegador são vetores primários de espionagem contra alvos de alto valor. Organizações brasileiras de **defesa**, **governo** e **tecnologia** com relacionamentos internacionais sensíveis são alvos potenciais de grupos como o APT3. A lição histórica: atualizar navegadores rapidamente após divulgação de zero-days é crítico - atrasos criam janelas de exposição amplas. ## Detalhes Técnicos A vulnerabilidade é um **use-after-free** na engine de renderização HTML do Internet Explorer. Ao processar determinados elementos HTML com VML (Vector Markup Language) ou ao manipular objetos DOM de forma específica, o IE libera um objeto de memória mas mantém referências a ele. A utilização dessas referências "dangling" por código VBScript ou JavaScript subsequente resulta em execução de código no contexto do processo do IE. O APT3 utilizou técnicas de **heap spray** para aumentar a confiabilidade do exploit e garantir execução em diferentes configurações de sistema. O exploit foi entregue via páginas web armadas em ataques de watering hole direcionados. **Técnicas relacionadas:** - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - exploração via watering hole / páginas maliciosas - [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] - execução via use-after-free no IE ## Mitigação - Aplicar patch emergêncial da Microsoft de 1 de maio de 2014 (MS14-021) - Migrar imediatamente do Internet Explorer - produto EOL desde 2022 - Usar Microsoft Edge ou outro navegador moderno com sandboxing e proteções atuais - Habilitar Enhanced Mitigation Experience Toolkit (EMET) como defesa em profundidade ## Referências - [NVD - CVE-2014-1776](https://nvd.nist.gov/vuln/detail/CVE-2014-1776) - [Microsoft Security Bulletin MS14-021 - Patch Emergêncial](https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2014/ms14-021) - [FireEye - Operation Clandestine Fox](https://www.fireeye.com/blog/threat-research/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html) ## Notas Relacionadas **Atores usando:** [[g0022-apt3|APT3 (Gothic Panda)]] **TTPs relacionadas:** [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] · [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] **CVEs relacionados:** [[cve-2014-6332|CVE-2014-6332]] · [[cve-2014-4113|CVE-2014-4113]] **Setores em risco:** [[defense|defesa]] · [[government|governo]] · [[technology|tecnologia]]