Opracowanie łatki na lukę w kliencie pocztowym Outlook, odkrytą przez Willa Dormanna z amerykańskiego CERT-u, zajęło Microsoftowi półtora roku. Problem nie został jednak do końca wyeliminowany. Do czasu zainstalowania poprawki wystarczyło wysłać do potencjalnej ofiary wiadomość w formacie RTF z obrazkiem osadzonym przez OLE (ang. Object Linking and Embedding), który był hostowany na serwerze SMB wykorzystywanym przez atakującego. Pobranie obrazka nie wymagało interakcji ze strony użytkownika. Uwierzytelniając się na zdalnym serwerze SMB za pomocą mechanizmu pojedynczego logowania (ang. Single Sign-On, SSO), Outlook wysyłał adres IP, nazwę domeny, login, nazwę hosta oraz skrót hasła po protokole NTLMv2. Złamanie pozyskanego w ten sposób kryptograficznego skrótu hasła nie stanowi w obecnych czasach dużego problemu. Zainstalowanie wydanej w kwietniu aktualizacji uniemożliwia Outlookowi automatyczne łączenie się ze zdalnymi serwerami SMB. Odkrywca luki zwraca jednak uwagę, że można ją wykorzystać także w inny sposób – wystarczy w treści e-maila umieścić link w formacie UMC i nakłonić ofiarę do jego kliknięcia. Zainicjuje to połączenie ze zdalnym serwerem i przekazanie interesujących przestępcę danych.
Ryzyko średnie: Wydana przez Microsoft poprawka ogranicza wykorzystanie luki, nie może jednak zapobiec atakom z użyciem socjotechniki (nakłaniających użytkowników do kliknięcia w złośliwy odnośnik).
Działania krótkoterminowe: Zainstalowanie poprawki na lukę CVE-2018-0950. Zablokowanie – w miarę możliwości – na firewallu dla sieci zewnętrznej portów TCP 445, 137 i 139, a także UDP 137 i 139. Wyłączenie mechanizmu pojedynczego logowania oraz stosowanie mocnych haseł do Windowsa.