Krytyczna luka w Windows Search ujawnia hashe NTLMv2.

[Muchomorek]

 Microsoft nie wydał jeszcze poprawki.

 Eksperci z Huntress ujawnili nową podatność, umożliwiającą wyciek poświadczeń NTLMv2 za pośrednictwem mechanizmu Windows Search. Problem dotyczy obsługi schematu URI wykorzystywanego przez Eksplorator Windows do realizacji zapytań wyszukiwania i według badaczy stanowi kolejną odsłonę znanej klasy błędów, określanych jako NTLM coercion lub forced authentication.
Szczególnie niepokojący jest fakt, że podatność pozostaje niezałatana, nie otrzymała numeru CVE i nie została jeszcze uwzględniona w oficjalnych biuletynach bezpieczeństwa Microsoftu. Według Huntress wykorzystuje ona praktycznie ten sam mechanizm, jaki wcześniej został usunięty z Narzędzia Wycinanie (Snipping Tool), jednak analogiczna poprawka nie została zastosowana w obsłudze Windows Search.
Problem tkwi w obsłudze URI przez Eksplorator Windows

Źródłem podatności jest sposób, w jaki Eksplorator Windows obsługuje schematy URI związane z funkcją wyszukiwania. Mechanizm ten pozwala aplikacjom oraz komponentom systemowym uruchamiać wyszukiwanie za pomocą specjalnych odnośników, takich jak

Obsługa tego typu adresów to integralna część Windows Search i od lat wykorzystywana jest przez system do indeksowania oraz przeszukiwania lokalnych i zdalnych zasobów. Microsoft udostępnia nawet interfejsy umożliwiające tworzenie własnych konektorów wyszukiwania i rejestrowanie dodatkowych protokołów obsługiwanych przez mechanizm Search.

Badacze Huntress wykazali jednak, że odpowiednio spreparowany URI może spowodować próbę nawiązania połączenia z zasobem kontrolowanym przez napastnika, co automatycznie uruchamia proces uwierzytelniania NTLM.
Jak działa atak?

Atakujący przygotowuje link wykorzystujący podatny mechanizm wyszukiwania i umieszcza go w wiadomości phishingowej, dokumencie Office, komunikatorze lub na stronie internetowej.

Po kliknięciu odnośnika przez użytkownika system Windows interpretuje URI i rozpoczyna obsługę żądania wyszukiwania. Jeżeli parametry wskazują na zasób znajdujący się na serwerze SMB kontrolowanym przez napastnika, stacja robocza automatycznie inicjuje proces uwierzytelniania.

System Windows wyświetla użytkownikowi komunikat ,,System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku". Okno dialogowe jest potwierdzeniem. W tym samym czasie hash hasła użytkownika zostaje wysłany do serwera atakującego – zanim system Windows wygeneruje błąd.

Przebieg ataku wygląda następująco:

    Użytkownik otwiera spreparowany link.
    Eksplorator Windows przekazuje żądanie do modułu Windows Search.
    System nawiązuje połączenie SMB z serwerem atakującego.
    Serwer wysyła wyzwanie NTLM (Challenge).
    Komputer ofiary odpowiada pakietem NTLMv2 Response.
    Hash NTLMv2 zostaje przechwycony przez napastnika.

Co istotne, w przeciwieństwie do klasycznych ataków phishingowych użytkownik nie musi pobierać ani uruchamiać żadnego pliku wykonywalnego. Samo wywołanie podatnego URI wystarcza do wymuszenia procesu uwierzytelnienia.
Dlaczego wyciek NTLMv2 jest groźny?

NTLMv2 nie przesyła hasła użytkownika w postaci jawnej. Zamiast tego generowana jest odpowiedź kryptograficzna obliczana na podstawie:

    hasła użytkownika,
    nazwy konta,
    nazwy domeny,
    znacznika czasu,
    losowego wyzwania wygenerowanego przez serwer.

Przechwycony hash nie pozwala odczytać hasła bezpośrednio, jednak nadal stanowi bardzo wartościowy materiał dla cyberprzestępców.

Najczęściej wykorzystywane są dwa scenariusze, które opisujemy poniżej.
NTLM Relay

Atakujący przekazuje przechwyconą odpowiedź NTLM do innego systemu akceptującego uwierzytelnianie NTLM. Jeśli serwer docelowy nie wymusza mechanizmów ochronnych takich jak SMB Signing lub Extended Protection for Authentication, możliwe jest uwierzytelnienie jako ofiara bez znajomości jej hasła.
Łamanie hashy offline

Przechwycone odpowiedzi NTLMv2 mogą zostać poddane analizie przy użyciu narzędzi takich jak Hashcat czy John the Ripper. W przypadku słabych haseł ich odzyskanie może zająć od kilku minut do kilku godzin.
Kolejna odsłona starego problemu

Eksperci zwracają uwagę, że nie jest to odosobniony przypadek. W ostatnich latach odkryto szereg podatności wykorzystujących dokładnie ten sam mechanizm automatycznego uwierzytelniania Windows:

    CVE-2023-23397 w Microsoft Outlook,
    CVE-2025-24054 związane z plikami .library-ms,
    CVE-2025-24071 dotyczące Eksploratora Windows,
    wcześniejsze podatności wykorzystujące pliki .url, .scf oraz skróty .lnk.

W każdym przypadku sednem problemu było automatyczne wysyłanie poświadczeń NTLM do zewnętrznych hostów – bez pełnej świadomości użytkownika.
Problem może omijać procesy zarządzania podatnościami

Według Huntress jednym z najpoważniejszych aspektów tej luki jest brak numeru CVE oraz oficjalnej poprawki. Wiele organizacji opiera procesy zarządzania podatnościami wyłącznie na monitorowaniu nowych wpisów CVE. W efekcie zagrożenie może pozostać niewidoczne dla części zespołów bezpieczeństwa mimo realnego ryzyka wykorzystania w środowisku produkcyjnym.
Jak wykryć próby wykorzystania podatności?

Administratorzy powinni monitorować:

    połączenia SMB wychodzące do Internetu,
    zdarzenia NTLM w logach Windows,
    ruch na porcie TCP/445,
    nietypowe połączenia inicjowane przez explorer.exe,
    próby uwierzytelnienia do nieznanych hostów spoza organizacji.

Za szczególnie podejrzane powinny być uznawane sytuacje, w których stacje robocze użytkowników nawiązują połączenia SMB do adresów internetowych, ponieważ w większości środowisk korporacyjnych taki ruch nie jest wymagany.
Zalecane działania ochronne

Do czasu wydania poprawki eksperci zalecają wdrożenie mechanizmów ograniczających skuteczność ataku:

    blokowanie ruchu SMB wychodzącego do Internetu,
    ograniczenie lub całkowite wyłączenie NTLM,
    migrację do Kerberos tam, gdzie jest to możliwe,
    wymuszenie SMB Signing,
    monitorowanie ruchu NTLM,
    filtrowanie podejrzanych schematów URI w poczcie elektronicznej,
    zwiększenie świadomości użytkowników w zakresie phishingu.

W środowiskach Active Directory działania te mogą znacząco ograniczyć ryzyko wykorzystania przechwyconych poświadczeń do dalszej eskalacji uprawnień.
Podsumowanie

Nowo odkryta luka w obsłudze Windows Search pokazuje, że problem wymuszonego uwierzytelniania NTLM nadal pozostaje jednym z największych wyzwań bezpieczeństwa w ekosystemie Windows. Mimo że podatność nie umożliwia bezpośredniego wykonania kodu, pozwala na pozyskanie hashy NTLMv2, które mogą zostać wykorzystane w atakach relay lub do łamania haseł offline.

Dodatkowym problemem jest brak numeru CVE i oficjalnej poprawki. Oznacza to, że organizacje powinny już teraz wdrożyć środki ograniczające wykorzystanie NTLM i monitorować nietypowe próby uwierzytelniania, zanim podatność zostanie powszechnie wykorzystana w kampaniach phishingowych i atakach na środowiska Active Directory.

żródło Nie masz uprawnień do wyświetlania linków. Zarejestruj się lub Zaloguj

You cannot view this attachment.
You cannot view this attachment.You cannot view this attachment.