Célzott támadáokhoz használt 0-day exploitot fedeztek fel, melyet a amerikai Külügyi Tanács (Council on Foreign Affairs - független tanácsadó testület) feltölt honlapján keresztül terjesztettek. A támadók gondosan ügyeltek rá, hogy a kártékony kód csak megfelelő nyelvi beállításokkal rendelkező böngészőkben fusson le, valamint igyekeztek kétszer nem ugyanarra a vadra lőni:

var h=navigator.systemLanguage.toLowerCase();
if(h!="zh-cn" && h!="en-us" && h!="zh-tw" && h!="ja" && h!="ru" && h!="ko")
{
  location.href="about:blank";
}

Maga az exploit az Internet Explorer legfeljebb 8-as verzióit támadja az mshtml.dll egy use-after-free sérülékenységén keresztül. A probléma kihasználásához a támadók Flash heap spray-t használnak, de a feladat nyilván más módszerrel is elvégezhető, ezért a Flash kikapcsolása nem segít. Mivel az eredeti dropper a különböző keresők cache-ében megtalálható, nagyon könnyen előfordulhat, hogy az exploitot beemelik a népszerű exploit kitekbe, így kiterjedt támadásokkal számolhatunk. 

Megoldásként egyelőre IE9 vagy 10, vagy alternatív böngésző használata javasolható.

Friss: A meglévő exploittal - és feltehetően a legtöbb leszármazottal szemben is - hatékony megoldás lehet az EMET Mandatory ASLR illetve ROP-mitigációs opcióinak használata. Az exploit a Java 6 által fix helyre betöltött MSVCR71.DLL-t, vagy az Office által használt HXDS.DLL-t használja az ASLR kijátszására, míg az összeállított ROP lánc a megszokott könyvtári függvényeket alkalmazza.

Friss 2: Megjelent a Microsoft FixIt készlete, ami átmeneti megoldást jelent a problémára. A készlet most is a Windows kompatibilitási rétegének felhasználásával, betöltéskor módosítja a sérülékeny DLL-t. Az Exodus Intelligence közben részletes elemzést közölt a problémáról (végre nem kell kínairól fordítani...), valamint a Low Fragmentation Heap memóriaallokációs tulajdonságainak kihasználásával heap-spray nélküli PoC-t is közzétettek.

Friss3: Az Exodus Intelligence elemezte a kiadott FixIt-et, és arra jutottak, hogy az nem nyújt kielégítő védelmet a sérülékenységgel szemben, egy módosított exploittal a FixIt-es rendszerek felett is átvehető az irányítás.