Przypomnijmy: luka znajduje się w komponencie MSHTML, czyli "kontrolce WebView" Internet Explorera, z czasów zanim stosowanie WebView było modne (lub znane). Komponent ten jednak nie może być używany autonomicznie, trzeba go osadzić w aplikacji lub dokumencie OLE. Okazuje się, że jako element osadzony podlega kontroli na prawach "strefy lokalnej". W języku Internet Explorera sprzed dwudziestu lat oznacza to strefę nieskończenie zaufaną.

To niemal ten sam problem, który do dziś zachodzi w składniku MSHTA , innym silniku osadzonym Internet Explorera. Strony internetowe działają w strefie zabezpieczeń "internet", lokalne pliki HTA w strefie, rzecz jasna, lokalnej - ale wymagają ręcznego pobrania. Niestety, sam silnik MSHTA może przyjmować URL jako parametr. W rezultacie uruchamia kod z internetu jako lokalny.

A metod skłonienia Worda do uruchamiania kodu z internetu jest sporo. Jedną z nich, stosowaną najwyraźniej od ponad tygodnia (acz istnieją poszlaki, że dzieje się to już nawet od roku), jest oparcie dokumentu o szablon (DOCT) ze wskazaniem jego źródła jako URL w internecie. Word pobiera szablon automatycznie.

MSHTML działający w strefie lokalnej pozwala nie tylko uruchamiać niepodpisane kontrolki ActiveX z internetu ale także wykonywać skrypty VBS. Zastosowanie pliku CAB z ActiveX dostarcza kilka dodatkowych korzyści w kwestii stosowania exploitu, ale da się obyć bez tego. To niejedyny problem.

Przed niezaufanym kodem ma chronić Tryb Odczytu w pakiecie Office. Dopiero wyłączenie go sprawia, że ActiveX może w ogóle działać. Owszem, wyłączenie obsługi ActiveX rozwiązuje problem, ale ryzyko powstaje dopiero w przypadku wyjścia z Trybu Odczytu. I dotyczy wtedy wariantu zarówno z ActiveX jak i bez niego. A zatem zastosowanie reguły "nie bierz cukierków od obcych" powinno wystarczyć.

Niestety, okazuje się, że Tryb Odczytu nie zawsze działa. Miniatura podglądu w oknie systemowego Eksploratora Plików okazuje się wołać kompletnego Worda celem narysowania się i wywołanie to zachodzi bez trybu chronionego. Jest to zaskakująca, jak na 2021, pozostałość po "myśleniu sprzed Service Packa 2 do XP" (czyli w praktyce sprzed Trustworthy Computing).