Tim sigurnosnih stručnjaka iz tvrtke Rhino Labs otkrio je malicioznu aktivnost koja iskorištava manje poznatu Microsoft Word funkcionalnost naziva subDoc. Maliciozna aktivnost navodi Windows računala na otkrivanje NTLM enkripcijskih sažetaka (standardni format u kojem su pohranjeni podaci korisničkog računa).

Radi se o klasičnom “NTLM pass-the-hash” napadu koji je poznat već godinama. Međutim, ono što je različito kod ovog slučaja je da se napad provodi preko Word funkcionalnosti subDoc koja omogućava Word datotekama da učitaju poddokumente iz glavnog dokumenta.

Iz Rhino Labsa navode da napadači mogu kreirati Word dokument koji povlači poddokument s malicioznog SMB poslužitelja, dok računalo korisnika navode na slanje NTLM enkripcijskih sažetaka na lažnu domenu.

Postoji nekoliko dostupnih alata za probijanje NTML enkripcijskih sažetaka i otkrivanje Windows korisničkih podataka. Napadači mogu koristiti te “login” podatke kako bi pristupili žrtvinom računalu na mreži. Ovaj tip napada uglavnom se koristi kod spear-phishing kampanji koje se koriste za napad na visoko pozicionirane tvrtke ili vladine agencije.