Unpatched Windows Search URI Vulnerability Lets Attackers Steal NTLMv2 Hashes

Vulnérabilité de fuite de hash NTLM via le gestionnaire d’URI “search:” de Windows

Une nouvelle vulnérabilité non corrigée dans le gestionnaire d’URI search: de Windows permet à un attaquant de dérober les hashs NTLMv2 d’un utilisateur. En incitant la victime à cliquer sur un lien piégé (via un navigateur ou un e-mail) contenant un paramètre crumb=location: pointant vers un partage SMB malveillant, le système d’exploitation tente une authentification automatique, exposant ainsi les identifiants de l’utilisateur. Microsoft a refusé de publier un correctif, qualifiant le risque de “modéré”.

Points clés :

• Mécanisme : Le gestionnaire d’URI search: ne valide pas correctement les chemins UNC (Universal Naming Convention), forçant une connexion vers un serveur distant sous contrôle de l’attaquant.
• Impact : Le hash NTLMv2 récupéré peut être utilisé pour effectuer des attaques par relayage et compromettre davantage le réseau.
• Contexte : Cette méthode est similaire à des vulnérabilités précédentes exploitant d’autres gestionnaires d’URI ou paramètres.

Vulnérabilités associées :

• CVE-2026-33829 (Similaire, concernant l’outil Capture d’écran).
• CVE-2023-35636 (Exploitation similaire via le paramètre “crumb”).

Recommandations :

• Filtrage réseau : Bloquer les connexions SMB sortantes (TCP/445 et TCP/139) sur les hôtes qui n’en ont pas l’utilité.
• Sécurisation SMB : Activer la signature SMB pour empêcher le relayage des hashs capturés.
• Configuration système : Désactiver l’authentification NTLM là où elle n’est plus nécessaire.

Source