Lỗ hổng CVE-2018-0950 cho phép kẻ xấu đánh cắp thông tin nhạy cảm, bao gồm cả thông tin đăng nhập Windows của người dùng, chỉ bằng cách lừa họ mở/xem một thư điện tử trong Microsoft Outlook (mà không cần thực hiện bất cứ một thao tác nào khác). Khi Outlook hiển thị nội dung OLD nằm ở xa của một bức thư định dạng Rich Text Format (RTF), ứng dụng sẽ tự động khởi tạo kết nối SMB. Kẻ xấu có thể lợi dụng điều đó bằng cách gửi một bức thư với định dạng RTF, trong đó chứa một hình ảnh (đối tượng OLE) nằm ở máy chủ SMB do chúng kiểm soát. Vì Microsoft Outlook tự động hiển thị nội dung OLE, nó sẽ tự động khởi tạo bước xác thực với máy chủ (do kẻ xấu kiểm soát) bằng giao thức SMB, với hình thức đăng nhập một lần (SSO) – tức là gửi tên người dùng và giá trị băm NTLMv2 của mật khẩu.

Nếu mật khẩu không đủ phức tạp, kẻ xấu có thể dò được mật khẩu từ giá trị băm trong một thời gian ngắn. Hình ảnh dưới đây mô tả cách Windows tự động gửi thông tin đăng nhập của người dùng tới máy chủ của kẻ xấu.

Dormann đã báo cáo về lỗ hổng này cho Microsoft vào tháng 11/2016 và đến tháng 4/2018, Microsoft mới đưa ra bản vá. Tuy nhiên, bản vá chỉ chặn Outlook tự động thiết lập kết nối SMB khi xem trước thư có định dạng RTF email. Nếu người dùng vẫn nhấn vào liên kết dạng UNC trong thư (có dạng \\), thì kết nối SMB vẫn được khởi tạo. Điều đó có nghĩa là bản vá của Microsoft không bảo vệ người dùng 100% (tin tặc vẫn có thể lợi dụng).

Vì thế, người dùng Windows, đặc biệt là những người quản trị hệ thống, được khuyến cáo thực hiện các công việc sau để ngăn chặn việc lợi dụng lỗ hổng:

• Cập nhật bản vá cho CVE-2018-0950;
• Chặn các cổng 445/tcp, 137/tcp, 139/tcp, 137/udp và 139/udp;
• Chặn xác thực NT LAN Manager (NTLM) Single Sign-on;
• Luôn sử dụng mật khẩu phức tạp (có thể dùng các trình quản lý mật khẩu để đáp ứng yêu cầu này);
• Không nhấn vào các liên kết nghi ngờ trong thư điện tử.