Dokumenty Office mają bardzo dużo możliwości, a co za tym idzie, dużo miejsc w których mogą być luki. Jednym z takich miejsc jest dokument Office w formie XML (.xml), który może ściągnąć arkusz stylów (XSL) ze zdefiniowanego serwera plików (SMB). Jeśli będzie to serwer kontrolowany przez atakującego, hash NetNTLM użytkownika zostanie ujawniony. Hash ten może być złamany offline, czyli atakujący może pozyskać nasze hasło, lub może być wykorzystany do zdalnego wykonania komendy jeśli użytkownik miał wyższe uprawnienia. Opisany atak stanowi duże zagrożenie, ponieważ dokumenty XML z reguły nie są blokowane przez serwery pocztowe lub inne mechanizmy ochronne, dlatego najlepszą obroną przed tego typu atakami jest edukacja pracowników.
Zespół CERT PSE przypomina by nie otwierać załączników podejrzanych maili.
Źródło: https://bohops.com/2018/08/04/capturing-netntlm-hashes-with-office-dot-xml-documents/