พบช่องโหว่ที่ใช้ในการขโมย NTLMv2 เมื่อ user มีการเปิดไฟล์ Microsoft Office ใดๆ โดยใช้ feature ของ Microsoft เองที่ชื่อว่า subDoc

Microsoft Office มี feature ที่ใช้ในการ load content จาก document อื่นซึ่งเรียกว่าเป็น sub document จาก master document โดย feature นี้มีชื่อว่า subDoc

ทาง Rhino Security Labs พบว่า feature ดังกล่าว สามารถเอามา load remote document ได้ ซึ่งนั่นทำให้กระทำผ่าน SMB protocol ออกไป ซึ่งโดยปกติของ Microsoft Office จะมีการส่ง username, password (NTLMv2) ที่อยู่ ณ​ ปัจจุบันไปยังปลายทางโดย default นั่นทำให้ข้อมูลรั่วไหลได้

วิธีการโจมตีคือการสร้าง document ขึ้นมาแล้วทำการใช้ subDoc แล้วกำหนด protocol ที่ใช้เป็น Universal Naming Convention (UNC)  (เช่น ////attackerip/subdoc/path เป็นต้น) ซึ่งนั่นทำให้เมื่อ user ทำการเปิดไฟล์ขึ้นมาก็จะกลายเป็นเรียกไปยัง sub Document ข้างนอกทันที

 

ตอนนี้ยังไม่มี Antivirus ตัวไหนที่ถือว่า Document ที่มี subDoc นั้นเป็น malicious document แต่อย่างใดครับ

ผลกระทบ: Information Disclosure
ระบบที่ได้รับผลกระทบ: Word 2007, 2010, 2013, และ, 2016 (on Windows only)
วิธีการป้องกัน: – (รอแพทจาก Microsoft ในวันที่ 9 มกราคม 2018)

Source:: Rhino Security Labs