Badacze z Rhino Security Labs odkryli nietypowy sposób wykorzystania funkcji subDoc w programie MS Word. Umożliwia ona wstawianie odwołań do dokumentów podrzędnych w utworzonym wcześniej dokumencie głównym. Nic nie stoi na przeszkodzie, by dokumenty podrzędne umieszczać na zdalnych serwerach – można je wczytywać, podając ścieżki w standardzie UNC (ang. Universal Naming Convention). Wiedząc, że wiele organizacji nie filtruje pakietów protokołu SMB, eksperci umieścili odpowiednio spreparowany plik właśnie na serwerze SMB. Zastosowany przez nich atak bazował na znanej od lat technice pass-the-hash, która umożliwiła kradzież hashy NTLMv2 po otwarciu dokumentu. Pozyskane w ten sposób hashe można złamać za pomocą narzędzi dostępnych online, by następnie wykorzystać np. do uwierzytelnienia się w firmowej sieci. Na atak podatni są użytkownicy wszystkich wersji pakietu MS Office zainstalowanego w systemie Windows. Zagrożenie nie dotyczy użytkowników macOS i Linuksa.
Ryzyko duże: Popularność ataków z użyciem dokumentów MS Office wskazuje, że opisywany sposób ataku zostanie wkrótce wykorzystany przez przestępców w kampaniach phishingowych.
Działania krótkoterminowe: Z uwagi na niemożliwość wyłączenia funkcji subDoc w MS Wordzie oraz niewykrywanie tego ataku przez antywirusy zasadnicze znaczenie ma edukacja pracowników.
Źródło: https://rhinosecuritylabs.com/research/abusing-microsoft-word-features-phishing-subdoc/
