http://gigazine.net/news/20160908-usb-snagging/

フラー氏によると、ハッキングの鍵となっているのはプラグアンドプレイ機能だとのこと。端末は画面がロックされた状態でもプラグアンドプレイ機能によってプログラムのインストールを受け入れるため、USB Armoryを挿し込んでプラグインプレイアダプターをDNSサーバー・Web proxy autodiscovery protocol(WPAD)サーバーと誤認識させてUSB端末をデフォルトゲートウェイに偽装することで、ネットワークトラフィックを受信できるようにした上で認証トークンを受け取っているそうです。
フラー氏は、Windows 10以外でもすでにWindows 7 SP1・Windows XP SP3・Windows 2000 SP4・Windows 98 SE・OS X El Capitan・OS X Mavericksのロック画面の突破に成功していると述べています。

Snagging creds from locked machines · Room362
https://room362.com/post/2016/snagging-creds-from-locked-machines/