Уязвимость в обработке системой Windows старых процедур аутентификации для сетевых ресурсов может раскрыть логин и пароль учётных записей Microsoft или VPN при их использовании. Эксплоит задействует внедрение ссылки в ресурс SMB внутри веб-страницы или электронного письма, просматриваемого через Outlook.
Хакеры могут поместить ссылки внутри изображений, перенаправляя пользователей в собственную сеть. При переходе по ссылке через Internet Explorer, Edge или Outlook из-за метода аутентификации Windows компьютер пользователя автоматически отсылает идентификационные данные на домен злоумышленников, даже через глобальную сеть.
Хотя пароли учётной записи Microsoft передаются не в виде простого текста, а как хеш NTLM, их можно взломать. Это далеко не новая проблема, известная с 1997 года и неоднократно обсуждавшаяся на конференциях безопасности, вроде Black Hat.
Ранее логины и пароли учётной записи системы хранились на самих компьютерах, но с выходом Windows 8 появилась возможность входить на них через учётные записи Microsoft. В Windows 10 это стало методом аутентификации по умолчанию, так что проблема стала намного более опасной.
Причина - Microsoft в последние годы стала привязывать свои сетевые сервисы к учётной записи. Теперь у старой атаки появились новые возможности, так как данные учётной записи Microsoft открывают двери в Skype, Xbox, OneDrive, Office 360, MSN, Bing, Azure.
За 19 лет уязвимость не была закрыта и решением пока является блокировка в брандмауэре порта 445 для исходящих соединений SMB, за исключением локальных сетей. Ещё лучше - не использовать учётную запись Microsoft для входа в систему.