นาย Assaf Baharav นักวิจัยด้านความมั่นคงปลอดภัยจาก Checkpoint ได้เปิดเผยว่าสามารถใช้ไฟล์ PDF เพื่อขโมย Windows Credentials ของผู้ใช้งานได้โดยไม่ต้องมี interaction จากผู้ใช้เพียงแค่เปิดไฟล์เท่านั้น
Baharav ได้ออกรายงานที่เผยถึงการนำฟีเจอร์มาตรฐานของ PDF มาใช้ในการขโมยค่า NTLM Hash ของผู้ใช้งาน โดยนักวิจัยได้กล่าวว่า “ข้อระบุของ PDF ได้อนุญาตให้ทำการโหลด Content จากทางไกลได้ด้วยฟังก์ชัน GoToE (embbeded go-to ) และ GoToR” ในงานวิจัยที่ Baharav ทดสอบคือสร้างเอกสาร PDF ที่ใช้งาน 2 ฟังก์ชันนี้ เมื่อมีการเปิดไฟล์ PDF มันจะส่งการร้องขอไปยัง SMB Server ที่เป็นอันตรายโดยอัตโนมัติ ซึ่งปกติแล้วการร้องขอผ่าน SMB จะมีค่า NTLM Hash และถูกบันทึกใน Log ของเซิร์ฟเวอร์ SMB อีกทั้งยังมีเครื่องมือที่สามารถแตกค่า Hash นี้และกู้คืนเป็นรหัสผ่านได้
โดยการโจมตีในลักษณะนี้มีให้เห็นมาแล้วกับการใช้งานเอกสาร Office, Outlook หรือการแชร์โฟลเดอร์ อย่างไรก็ตามทางนักวิจัยเลือกทดสอบกับตัวอ่าน PDF ชื่อดัง เช่น Adobe Acrobat และ FoxIT Reader และแจ้งเตือนไปแล้วแต่ FoxIT ก็เงียบไป ส่วนของ Adobe ก็เลือกที่จะไม่แก้ไขซอฟต์แวร์และโยนไปให้ทำตามคำแนะนำของ Microsoft (ADV170014) ที่บอกเกี่ยวกับกลไลและคำสั่งเชิงเทคนิคถึงวิธีการ Disable การพิสูจน์ตัวตนบน Windows ด้วย NTLM SSO เพื่อป้องกันไม่ให้เกิดการขโมย NTLM Hash ระหว่างทางการเรียก SMB ไปยังเซิร์ฟเวอร์ภายนอก นอกจากนี้ Baharav คาดว่าตัวอ่าน PDF เจ้าอื่นๆ ที่ไม่ได้ทดสอบน่าจะมีช่องโหว่นี้เช่นเดียวกัน