TokyoBlackHatNews

cyberpress.org 4分で読了

Windows Search URIの脆弱性、NTLMv2ハッシュを攻撃者に漏洩

Windowsのsearch: URIハンドラに新たな脆弱性が発見されました。リンクをクリックするだけで、ユーザーのNTLMv2認証情報ハッシュが攻撃者の管理するサーバに漏洩する危険があります。しかしMicrosoftはCVEの採番もパッチの発行も行わないと表明しています。

この脆弱性は2026年4月15日にMicrosoftへ報告されました。その1日前、同社はWindows Snipping ToolのCVE-2026-33829にパッチを適用したばかりでした。技術的な観点から見ると、今回の脆弱性は修正済みの脆弱性とまったく同一です。

両者は同じNTLMリーク起因を悪用しており、CVSSの深刻度評価(AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N)もModerateで一致しています。また、どちらもNet-NTLMv2ハッシュの漏洩を引き起こします。異なるのは関係するURIハンドラの種類と、Microsoftが対応を選択したかどうかという点のみです。

search: URIハンドラはWindowsに組み込まれたコンポーネントで、システムレジストリ(HKCR)に登録されており、search-ms:とともに同一のCOMクラス「SearchExecute」(CLSID:{90b9bce2-b6db-4fd3-8451-35917ea1081b})に紐付けられています。実装はExplorerFrame.dll内にあります。ユーザーが以下のような細工されたリンクをクリックすると、

Windowsは標準的なNTLM認証の一環として、攻撃者のサーバへのSMB接続を自動的に試みます。

Responderなどのツールを使えば、Windowsが「指定されたデバイス、パス、またはファイルにアクセスできません」というエラーダイアログを表示するよりも前に、数秒以内でNet-NTLMv2ハッシュを取得できます。

この攻撃は、Windows 11 25H2 Pro(ビルド26200.8524)の標準ユーザーアカウント、デフォルトのDefender設定、開発者モードや管理者権限なしの環境で検証し、問題なく成功しました。

Microsoft Edgeでは、警告も確認プロンプトも表示されないまま、シンプルな<a href>ハイパーリンクによってペイロードが届きます。ユーザーが何かおかしいと気づく前に、ハッシュはすでにマシンの外に流出しています。

重要な点として、ログイン後の最初のリンククリック時にハッシュが漏洩します。以降の試みは「アクセスが拒否されました」というメッセージが返され、ユーザーがログアウトするまで繰り返せません。フィッシングキャンペーンにおいて、攻撃者にはその最初のクリックの瞬間だけで十分です。

CVE-2026-33829との類似は完全に一致しています。Snipping Toolのms-screensketch:ハンドラは未検証のfilePathパラメータを受け付け、攻撃者が指定したUNCパスに転送することでNTLM認証をトリガーしてハッシュを漏洩させていました。

search:ハンドラも同様に、未検証のcrumb=location:パラメータを受け付け、ExplorerFrame.dll内の同一COMアクティベーション経路を通じて同じ動作を引き起こします。

これは孤立した事例ではありません。Varonisは2024年、search-ms:におけるcrumb=location: UNCリーク起因を文書化していますが、Moderate評価でクローズされ、パッチは提供されていません。

同じVaronisの調査で発見されたWPA URIハンドラのリークも、同様の結果に終わっています。search:の攻撃対象領域については、2023年にTrelixが文書化しています。

CVSSスコア4.3という評価やCVEの不在は、実際の運用リスクを反映していません。Huntressによれば、この脆弱性の悪用にマルウェアは不要で、ペイロードの送り込みも複雑な攻撃チェーンも必要ありません。脅威の本質は、メール内の1本のハイパーリンクです。

脆弱性管理プログラムがMicrosoftによるCVE発行を主要なシグナルとして使用している場合、4月にSnipping Toolへのパッチは適用できていても、同等の影響を持つこの未修正の亜種については把握できていない状態です。

Microsoft Security Response Center(MSRC)への通知は2026年4月15日に行われました。当初は「ソーシャルエンジニアリング」として却下されましたが、4月21日に再開され、正式なケース番号が割り当てられています。

5月15日、MSRCは最終評価を下しました。深刻度はModerate、サービス提供の基準を下回るというものでした。発見者は5月15日に公開の意向をMSRCに通知し、5月20日に6月2日の公開日を確定しています。

5月28日、MSRCはCVE-2026-33829自体もModerate深刻度評価であることを確認しており、それは未修正の亜種と同じ評価です。

翻訳元: https://cyberpress.org/windows-search-uri-leaks-ntlmv2-hashes/

ソース: cyberpress.org
#CVE-2026-33829 #Microsoft #NTLMv2 #Search URIハンドラ #SMB認証 #Windows脆弱性 #ゼロデイ #パッチ未提供 #フィッシング攻撃 #認証情報漏洩

関連記事

WordPressプラグインの脆弱性、50万超のサイトを権限昇格リスクにさらす

偽の発注書を装ったマルウェアキャンペーン、米国企業を標的に

GitHub Actionsのスクリプトインジェクション脆弱性、38%の組織に影響