مایکروسافت می‌گوید منشا حملات روز صفر اخیر یک گروه تهدید پیشرفته مداوم (ADT) موسوم به sofacy هستند. این گروه حملات هدفمندی را بر مبنای آسیب‌پذیری‌های روز صفر ادوبی فلش و کرنل ویندوز پایه‌ریزی کرده بودند. گروهی که به نام‌های strontium، sednit، Tsar Team و APT28 نیز معروف هستند.
مایکروسافت اعلام داشته است، آسیب‌پذیری روز صفری که جزییات آن روز دوشنبه از سوی گوگل بر ملا شد، در تاریخ 8 نوامبر ترمیم خواهد شد. گوگل روز گذشته اعلام کرد در تاریخ 21 اکتبر به طور محرمانه درباره دو آسیب‌پذیری روز صفر که می‌توانند حملات هدفمندی را به وجود آورده و کاربران را قربانی خود کنند به ادوبی و مایکروسافت هشدارهای لازم را داده بود. ادوبی وصله لازم برای ترمیم این آسیب‌پذیری را درست پنج روز بعد از اعلام گوگل برای فلش پلیر منتشر کرد. در مقابل مایکروسافت در این مدت نه وصله لازم را ارائه کرد و نه این خبر را تایید کرد، به طوری که در نهایت گوگل تصمیم گرفت این خبر را به طور رسمی اعلام کند.

اما مایکروسافت روز گذشته و بعد از آن‌که سلسله حملاتی بر مبنای این آسیب‌پذیری شکل گرفت، جزییات مربوط به این آسیب‌پذیری و حملاتی که به واسطه این آسیب‌پذیری‌ها به وجود آمده بودند را تشریح کرد. تری مایرسون معاون بخش اجرایی ویندوز در این ارتباط گفت: «ما معتقد هستیم اولویت اول دنیای فناوری کاربران هستند. در ادامه با حفظ امنیت کاربران و به صورت هماهنگ شده جزییات مربوط به آسیب‌پذیری‌ها را منتشر کنیم. اما تصمیم گوگل مبنی بر افشای آسیب‌پذیری‌ها پیش از عرضه وصله‌های مربوطه مایوس کننده بود. به‌طوری که کاربران زیادی را در معرض خطر قرار داد.»

مایکروسافت می‌گوید با ادوبی و گوگل برای عرضه وصله‌های مربوطه همکاری داشته و در تاریخ 8 نوامبر وصله مربوطه را عرضه خواهد کرد. مایکروسافت در خصوص تشریح حمله‌ای که از جانب sofacy انجام شده اعلام داشته است: «این حمله تا حد زیادی استراتژیک بوده و سازمان‌های دولتی، موسسات دیپلماتیک، سازمان‌های نظامی، پیمانکاران دفاعی و موسسات فعال در زمینه تحقیقات سیاسی را تحت الشعاع خود قرار داده است. این حملات از نوع spear phishing بوده‌اند.»

مایکروسافت در خصوص مکانیزم مورد استفاده گفته است: «حملات صورت گرفته دو آسیب‌پذیری شناسایی شده را همانند حلقه‌های زنجیر به یکدیگر متصل کرده بودند. حمله اول به منظور بهره‌برداری از آسیب‌پذیری فلش به مرحله اجرا در آمد. این اکسپلویت یک شکاف به کارگیری بعد از آزادسازی (use-after-free) بود که در کد زمان اجرای Action Script در این نرم‌افزار اجرا می‌شود. زمانی که فلش تحت تاثیر حمله قرار می‌گیرد و در نظر دارد کنترل فرآیند مرورگر را به دست آورد، هکرها از اکسپلویت دوم که هدفش آسیب‌پذیری کرنل ویندوز بود استفاده می‌کردند. این آسیب‌پذیری حتا در نسخه‌های فعلی ویندوز 10 نیز وجود دارند. شکاف به وجود آمده به منظور گریز از سندباکس و افزایش امتیازها مورد استفاده قرار می‌گرفت. از این مرحله به بعد هکرها قادر به ساخت یک درب پشتی بودند. این درب پشتی به آن‌ها اجازه می‌داد به سامانه‌های قربانی دسترسی دائمی داشته باشند. در نتیجه هکرها می‌توانستند دستورات بیشتری را اجرا کرده و اطلاعات را به سرقت ببرند.»

مایکروسافت در بخش دیگری از یادداشت خود اعلام داشته است که مولفه win32k که در این حملات مورد سوء استفاده قرار گرفته است را به تازگی به‌روزرسانی کرده تا مانع از انجام فعالیت‌های خرابکارانه شود. مایکروسافت می‌گوید کتابخانه پویایی که در این حملات مورد استفاده قرار گرفته را با استفاده از سیاست Code Integrity می‌توان غیر فعال کرد. درست به همان شکلی که مرورگر مایکروسافت اج این‌کار را انجام می‌دهد. اما این یک راه‌حل موقتی است به دلیل این‌که هکرها تا تاریخ 8 نوامبر ممکن است از روش‌های دیگری برای بهره‌برداری از این آسیب‌پذیری‌ها استفاده کنند.