Windows-käyttöjärjestelmien NTLM-autentikointiin liittyvä haavoittuvuus
mahdollistaa Windows-tilin käyttäjätunnuksen ja salatun salasanan
vuotamisen hyökkääjän hallussa olevalle palvelimelle. Ongelma liittyy
file:// -osoitteiden käsittelyyn ja se koskee Windowsin paikallisten
tunnusten lisäksi Microsoft Live- ja toimialuetunnuksia (domain).

Windows yrittää kertakirjautumisperiaatteen mukaisesti kirjautua
automaattisesti SMB-verkkojakoihin. Vihamielinen palvelin voi tallentaa
kirjautumisyrityksen tiedot, jotka sisältävät käyttäjätunnuksen,
toimialueen ja salasanatiivisteen. Heikot salasanat voi olla mahdollista
selvittää tiivisteestä.

Ongelmalliseksi ominaisuuden tekee useiden Windows-sovellusten tapa
avata verkkojakoja verkosta saatujen linkkien perusteella. Erimerkiksi
Internet Explorer, Edge ja Outlook voivat yhdistää jakoon
automaattisesti kohdatessaan verkkosivulle tai sähköpostiin upotetun
linkin. Käyttäjä voidaan myös harhauttaa yhdistämään vihamieliseen
SMB-jakoon file:// -linkkiä seuraamalla. Haavoittuvuus vuotaa myös
VPN-palveluiden kirjautumistietoja, jos palvelun tunnistautuminen on
toteutettu MSCHAPv2-protokollalla.

Vastaavan kaltainen haavoittuvuus löydettiin myös vuonna 2015.
Kyberturvallisuuskeskus käsitteli HTTP-pyyntöjä SMB-jakoihin ohjannutta
haavoittuvuutta Haavoittuvuustiedotteessa 032/2015
.