# CVE-2014-6332 - Windows OLE Automation RCE (IE) > [!high] CVSS 9.3 - RCE via Internet Explorer / Windows OLE > Vulnerabilidade em OLE Automation do Windows permite execução remota de código via Internet Explorer ao visitar uma página web maliciosa - usada na Operation Double Tap em 2014. ## Visão Geral A [[cve-2014-6332|CVE-2014-6332]] é uma vulnerabilidade crítica de **execução remota de código (RCE)** no subsistema **Windows OLE Automation**, explorada via Internet Explorer. A falha reside no tratamento de objetos Windows OLE em páginas web: manipulação incorreta de arrays VBScript pode causar corrupção de memória que permite escalar para execução de código arbitrário. Afeta práticamente todas as versões do Windows com IE, de Windows 95 a Windows 10. Conhecida também como "Windows OLE RCE" ou parte da série de exploits do IE do período 2013-2014, esta CVE foi usada na **[[operation-double-tap]]** (Operação Double Tap), campanha de espionagem atribuída a atores avançados que comprometeu redes governamentais e militares via páginas web armadas (watering hole attacks). > [!latam] Impacto LATAM > Embora histórica, esta CVE ilustra a importância de atualizar navegadores legados. Sistemas Windows com Internet Explorer ainda ativo existem em infraestruturas industriais e governamentais brasileiras - o Internet Explorer foi oficialmente descontinuado em 2022, mas permanece em uso em sistemas legados em setores como **manufatura** e **governo** municipal. ## Detalhes Técnicos A vulnerabilidade explora o mecanismo de SafeArray no OLE Automation (`oleaut32.dll`). Um script VBScript em uma página web pode manipular as dimensões de um SafeArray de forma a causar escrita fora dos limites da memória alocada. Com técnicas de heap spraying e memória controlada, o atacante pode redirecionar a execução para shellcode arbitrário, contornando inclusive proteções como DEP e ASLR em condições específicas. **Técnicas relacionadas:** - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - exploração via navegação em página maliciosa - [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] - execução via IE/OLE Automation ## Mitigação - Aplicar patches da Microsoft de novembro de 2014 (MS14-064) - Desabilitar ou remover Internet Explorer - oficialmente EOL desde 2022 - Migrar para Microsoft Edge ou outro navegador moderno suportado - Desabilitar execução de VBScript no IE via Group Policy em sistemas legados que ainda o utilizam ## Referências - [NVD - CVE-2014-6332](https://nvd.nist.gov/vuln/detail/CVE-2014-6332) - [Microsoft Security Bulletin MS14-064](https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2014/ms14-064) ## Notas Relacionadas **Campanhas:** [[operation-double-tap|Operation Double Tap]] **CVEs relacionados:** [[cve-2014-4113|CVE-2014-4113]] · [[cve-2014-1776|CVE-2014-1776]] **TTPs relacionadas:** [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] · [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] **Setores em risco:** [[government|governo]] · [[defense|defesa]]