微软试图在windows10企业盗窃保护用户帐户的凭据，和安全产品检测试图窃取用户密码。但所有这些努力，可以通过安全的方式做，据安全研究人员。
安全模式是一个系统的诊断操作模式，自Windows 95存在。它可以激活在启动时只加载最少的服务和驱动程序，Windows需要运行。
这意味着大多数的第三方软件，包括安全产品，在安全模式启动不否定他们，否则提供保护。此外，还有可选的Windows功能如虚拟安全模块（VSM），不在此模式下运行。
向量空间模型是一个虚拟机在windows10企业版，可以用来从系统的其余部分隔离关键服务的容器，包括本地安全认证子系统服务（LSASS）。LSASS处理用户身份验证。如果是活跃的，即使是管理用户可以访问密码或其他系统用户密码的哈希值。
在Windows网络，攻击者不需要明文密码来访问某些服务。在许多情况下，认证过程依赖于密码的加密散列，所以有工具来提取这种散列从妥协的Windows机器和使用它们来访问其他服务。
这种横向运动技术即是通过哈希是虚拟的安全模块（VSM）攻击的目的是防止。
然而，从软件安全研究人员意识到由于CyberArk VSM和其他安全产品可以阻止密码提取工具可在安全模式启动不了，攻击者可以用它来绕过防御。
同时，有远程部队电脑进入安全模式用户无需怀疑的方式筹集，在一个博客CyberArk研究员Doron Naim说，对物联网产业的兴奋持续的嗡嗡声（IIoT）的呼声越来越清晰的每一天。
拉过这样的攻击，黑客首先需要获得受害者的计算机上的管理权限，这是不是在现实世界的安全漏洞不寻常。
攻击者利用各种技术来感染计算机的恶意软件，然后利用未打补丁升级他们的特权特权升级缺陷或利用社会工程学欺骗用户。
一旦攻击者的计算机上的管理员权限，他可以修改操作系统的启动配置，迫使它自动下次它启动进入安全模式。他可以配置一个流氓服务或COM对象在这个模式启动，窃取密码，然后重新启动计算机。

Windows正常显示指标，操作系统是在安全模式下，它可以提醒用户，但也有解决的办法，Naim说。首先，强制重启，攻击者可以显示一个提示如图所示的Windows时，电脑需要重新启动安装有待更新。当在安全模式下，恶意的COM对象可以桌面背景和其他元素的变化使它看起来，操作系统仍在正常模式下，研究人员说。
如果攻击者想捕捉用户的凭据，他们需要让用户登录，但如果他们的目标仅仅是执行通过哈希攻击，他们可以简单地迫使一个背靠背的重启将无法区分用户，Naim说。
CyberArk报告的问题，但声称，微软并不认为这是一个安全漏洞，因为攻击者需要妥协的计算机和第一位获得管理权限。
虽然补丁可能不会到来，有一些缓解措施，企业可以采取保护自己免受这种攻击，Naim说。其中包括标准用户除本地管理员权限，旋转的特权帐户的凭据无效的密码哈希频繁，使用安全的工具，甚至在安全模式正常添加机制时应注意机器的靴子在安全模式。