卡巴斯基实验室的研究人员是在调查垃圾邮件的附加档案时察觉此事,这些档案采用OLE2(Object Linking and Embedding,物件连结与嵌入)格式,既未使用巨集,也没有攻击程式或其他恶意元件,却含有许多导至第三方PHP程式的连结,当他们打开该档案时,发现Word处理了其中一个连结,得以让骇客取得装置上的软件配置资讯。
骇客取得的软件资讯包含浏览器品牌与版本、Windows版本、。NET版本或Office版本等。
研究人员进一步追踪之後找到一个有问题的栏位—IncludePicture,该栏位原本应该使用ASCII格式,却被Unicode取代,而藉由Unicode架构即能触发Get请求,以把软件配置传送给骇客。
卡巴斯基实验室指出,他们无意间揭露了一个未被公开发表的Word功能,因为在微软的Office文件中,对IncludePicture栏位几无描述。
不论如何,研究人员认为骇客的动机应该是为了采集资讯以寻找合适的受害者,因此必须先了解受害者装置上的系统与应用程式版本,之後才能展开有效的攻击。
支援IncludePicture功能的除了Windows版的Word之外,还包括Android与iOS上的Microsoft Office。
