Badacze FireEye nie udostępnili działającego exploita,zapewniająjednak, że luka ta jest dobrze znana cyberprzestępcom,zaobserwowali wykorzystywanie jej przez wiele rodzin malware. Nicdziwnego, obchodzi ona większość zabezpieczeń na zwykłychwindowsowych desktopach.
W uzłośliwionym dokumencie RTF umieszczony zostaje obiektOLE2link. Jego otwarcie powoduje wykonanie żądania HTTP przezwinword.exe i pobranie ze zdalnego serwera pliku z rozszerzeniem .hta(HTML Application), który udaje kolejny plik RTF. Zostaje onwykonany, jednocześnie przerywając działanie Worda, aby ukryćprzed użytkownikiem okno dialogowe generowane przez OLE2link.Następnie ładowane są dalsze ładunki, a w dwóch zaobserwowanychprzypadkach, także fałszywy dokument Worda. Jego wyświetlenie mauspokoić użytkownika – nic się nie stało, kliknął załącznik,zobaczył co jest w środku, Word tylko na chwilę się zawiesił.
Łatka zostanie udostępniona w ramach kwietniowych biuletynówbezpieczeństwa już jutro, do tego czasu więc powstrzymajcie się wmiarę możliwości przed otwieraniem wszelkich załącznikówrozsyłanych pocztą.