Como usted sabe, esta vulnerabilidad se encontró hace tiempo en la naturaleza y el exploit también está disponible, por cierto, estoy teniendo problemas para entender el código ofuscado. ¿Es necesario usar la ofuscación y por qué el atacante usó la ofuscación? ¿El atacante tenía una razón específica para hacer esto? la parte de exploit que quiero decir está ubicada en la línea 292 de enlace
Por lo que puedo decir, la cadena YMjf\u0c08\u0c0cKDogjsiIejengNEkoPDjfiJDIWUAzdfghjAAuUFGGBSIPPPUDFJKSOQJGH en cuestión es interesante. Sin embargo, el uso de \u0c08\u0c0c es el valor de EDI después del uso después de gratis. En cuanto al resto de la cadena, parece que eso es lo que se usó en el día 0 de otra persona antes de que se tradujera.
Parte de la información se adaptó de enlace
Lea otras preguntas en las etiquetas web-browser obfuscation exploit windows