В ходе исследования специалисты McAfee воспользовались тем фактом, что Windows индексирует файлы и их содержимое для облегчения поиска по ним. Одновременно они учли, что Cortana настроена помогать пользователю в поисках различного контента и слушает его даже тогда, когда компьютер заблокирован. В итоге выяснилось, что если хакер при заблокированном экране обратится к голосовому помощнику, и продиктует ему для ввода какие-то символы — например, комбинацию pas — то ему в виде контекстного меню будет показана поисковая выдача, содержащая названия файлов, в которых есть введенный фрагмент.
Далее, наведя курсор на какой-либо из результатов поиска, хакер увидит всплывающую подсказку, в которой указан путь к файлу, а иногда и фрагмент его содержимого, если этот фрагмент содержит совпадение с введенной комбинацией символов. Например, наведя курсор на название файла taxes password.txt можно увидеть фрагмент TurboTax password: IL0v3P4yingT4x3$, узнав таким образом пароль от программы подготовки подоходного налога TurboTax.
Запуск вредоносного кодаПоэкспериментировав с различными типами файлов в поисковой выдаче, специалисты McAfee смогли запустить такие программы, как калькулятор, просто кликнув на их названия. Также удалось открыть в текстовом виде, но не исполнить некоторые скрипты, например, PowerShell. Получить доступ к командной строке не удалось. Выяснилось также, что при клике правой клавишей мыши на результате поиска выпадают меню, где предлагается открыть местонахождение файла или скопировать полный путь к нему, причем эти меню варьируются для различных типов файлов.
Голосовой помощник Cortana позволяет хакеру запустить исполнение скриптов в Windows