A FireEye eddig ismeretlen 0-day Internet explorer exploitot azonosított. A célzott "watering-hole" támadásokban kihasznált use-after-free sérülékenység a böngésző 9-es és 10-es változatait érinti, a támadók most a 10-esre lőnek. Az exploit Flash-es heap-spray-t használ az ASLR megkerülésére, és egy ROP lánc lefutása után gey egy byte-os XOR-ral obfuszkált ZXShell RAT-t pottyant az áldozat gépére (ez a trükk gondolom az AV-knak ismét megugorhatatlan feladatot jelent). Érdekesség, hogy az exploit képes detektálni, ha az áldozat EMET-et használ, ilyenkor a támadók visszavonulót fújnak. Az IE 10 sandbox kijátszásának módjáról egyelőre nem áll rendelkezésre információ.

A FireEye szerint a támadás sok hasonlóságot mutat két korábbi 0-day kampánnyal, melyek amerikai illetve japán célpontokat érintettek. Ez, és a trójai is arra utal, hogy ismét keletről fúj a szél. 

A Microsoft elismerte a probléma létezését, javítás egyelőre nincs. A kockázatok a Flash letiltásával, EMET belövésével, vagy alternatív böngésző használatával csökkenthetők.

Friss: Itt olvasható egy analízis a sérülékenységről, itt látható egy strings kimenet a payloadből, itt pedig a visszafejtett SWF spray.