「フィッシングに悪用できるWordの機能：『サブ文書』」

https://rhinosecuritylabs.com/research/abusing-microsoft-word-features-phishing-subdoc/rhinosecuritylabs.com

「ワードのサブ文書機能、Windowsの認証情報窃取に悪用可能と判明」

www.bleepingcomputer.com

Microsoft Officeはとても多機能であり、あまり使われない機能も多数あります。しばらく前にDDE機能が悪用されていましたが、今回は「subDoc」機能の悪用です。ただし悪用できる範囲は限定的とは思います。

「サブ文書」は「グループ文書」機能の一部で、複数の文書をリンクして使うもの、のようですね。

hamachan.info

悪意ある者がSMBサーバを用意し、サブ文書を要求する形の文書をターゲットに開かせると、サブ文書要求時にNTLMv2ハッシュが送信される、というのが狙いです。ハッシュからパスワードを求めるツールは多数あるので、これでWindowsログオンパスワードがわかる、という寸法です。

なお、この攻撃が成立するにはSMBパケットが外部に出ていく必要がありますが、多くのルータは外部向けSMBパケットを遮断するはずです。なので、攻撃が成立する対象は限定的なはずです。