Trong tổng số 21 lỗ hổng được định danh CVE được vá, đáng lưu ý là lỗ hổng CVE-2018-8174 nằm trong Engine của ngôn ngữ lập trình VBScript Windows. Lỗ hổng này cho phép kẻ tấn công có thể thực thi mã từ xa tùy ý.

Microsoft đã lý giải chi tiết hơn trong một khuyến cáo rằng: Kẻ tấn công có thể chiếm quyền điều khiển tương tự người dùng. Nếu người dùng hiện tại đang đăng nhập với quyền quản trị hệ thống, kẻ tấn công có thể chiếm quyền điều khiển hệ thống. Từ đó, cài đặt chương trình, xem, sửa, xóa dữ liệu, tạo tài khoản mới với đầy đủ quyền hạn,….

Để khai thác lỗ hổng, kẻ tấn công có thể thực hiện các cách thức: lừa người dùng truy cập vào một website độc hại, khai thác thông qua một ứng dụng nhúng ActiveX, hoặc các file văn bản Office chứa công cụ dịch mã (rendering engine) của trình duyệt Internet Explorer.

Nếu không thể chiếm quyền truy cập, kẻ tấn công có thể khai thác các lỗ hổng leo thang đặc quyền khác như lỗ hổng CVE-2018-8120 trên các phiên bản cũ của Windows (Windows 7, Server 2008, Server 2008 R2).

Ngoài ra, 2 lỗ hổng là CVE-2018-8141 và CVE-2018-8170 đã bị công bố mã khai thác. Điều này có nghĩa, kẻ tấn công đã có đầy đủ thông tin về cách thức hoạt động của các lỗ hổng này trước khi các tổ chức cập nhật bản vá.

CVE-2018-8141 là lỗ hổng gây rò rỉ thông tin trong Windows Kernel. Còn CVE-2018-8170 là lỗ hổng leo thang đặc quyền trong Windows Image. Trong cả hai trường hợp này, kẻ tấn công cần phải đăng nhập hoặc chiếm quyền truy cập nội bộ để khai thác.

Bản cập nhật bảo mật tháng 5/2018 cũng bao gồm một bản vá ngoài dự định có định danh là CVE-2018-8115, tác động đến thư viện Windows Host Compute Service Shim. Thư viện này giúp khởi chạy Window Server từ các nhà cung cấp dịch vụ như Docker.

Trước đó, Microsoft đã phát hành riêng 1 bản cập nhật ngoài dự định cho lỗ hổng này, nhưng vẫn phát hành cùng bản cập nhật Patch Tuesday cho những cá nhân, tổ chức chưa tiến hành cài đặt thủ công bản vá này.