Nach Information des Bundesnachrichtendienst (BSI) ist eine schwerwiegende Server Message Block Schwachstelle in den Windows-Versionen 8 und 10 aufgetreten, die einen unerwünschten Informationsabfluss verursachen kann. Besser bekannt ist der sogenannte SMB als Datei- und Druckfreigabe. Werden Benutzer beispielsweise im Internet um eine Freigabe gebeten, kann dadurch ihr Benutzername und der Passwort-Hash an einen möglichen Angreifer übermittelt werden. Zwar kann man sich normalerweise nicht aus der Ferne mit Benutzernamen und Passwort auf dem Rechner des Benutzers einloggen, doch bei Windows kann man sich auch mit einem Microsoft-Konto anmelden und hier gelten die Anmeldedaten auch für diverse MS-Dienste wie Outlook, OneDrive, Skype und Office, sofern der Benutzer diese Dienste mit diesem Konto nutzt.
Der Angriff kann z.B. durch eine URL erfolgen, die in eingebetteten Bildern in HTML-Mails ist, und die einen Netzwerkshare des Angreifers enthält. Windows 8 und 10 versuchen dann an dem Netzwerkshare zu authentisieren und den Windows-Benutzernamen zu übertragen. Mittels Brute-Forcing kann der Angreifer dann den Hash dekodieren und an das Windows-Passwort kommen.