La faille 'zero-day' a été découverte par le chercheur en sécurité John Page. Il s'agit d'une brèche XXE (XML eXternal Entity) exploitant un fichier MHT spécial, à savoir le format de fichier pour archives web dans Internet Explorer.

Le but est de faire ouvrir un fichier MHT spécifique par une victime, par exemple via mail ou clavardage (chat). Ce fichier est du reste ouvert par défaut par Internet Explorer et peut être abusé, s'il dispose des propriétés ad hoc, afin de dérober des fichiers d'un PC ou vérifier quelles versions de logiciels y sont installées.

Le problème se manifeste sur Windows 7, Windows 10 et Windows Server 2012 R2. Ce qui est étonnant, c'est qu'Internet Explorer ne doit même pas être ouvert. Il suffit que le navigateur soit installé sur l'appareil, ce qui est d'origine le cas avec Windows.

Selon ZDNet.com, Page a pris contact fin mars avec Microsoft pour dénoncer le problème. L'entreprise ne se presse toutefois pas et déclare qu'elle envisage de colmater la faille à l'avenir sans autre précision. Voilà pourquoi Page a à présent décidé d'en informer le grand public.