Auf den Punkt: Eine ungepatchte URI-Handler-Schwachstelle in Windows Search ermöglicht Angreifern die Extraktion von NTLMv2-Hashes und damit potenziell den Zugriff auf Windows-Authentifizierungstoken.
Sicherheitsforschende haben eine ungepatchte Schwachstelle im Windows-Such-URI-Handler (search:) offengelegt, die zur Exfiltration von NTLMv2-Hashes missbraucht werden kann. Das Muster ähnelt der bereits bekannten CVE-2026-33829 im Snipping Tool.
Huntress-Forscher haben eine ungepatchte Schwachstelle im search:-URI-Handler von Windows Search dokumentiert. Über diesen Handler können Angreifer – ähnlich wie bei CVE-2026-33829 im Windows Snipping Tool – NTLMv2-Hashes von Benutzern abfangen und offenlegen.
Das Exploit-Muster folgt der gleichen Mechanik wie die CVE-2026-33829: Ein bösartiger ms-screensketch:-URI-Handler konnte Nutzer zu Anfragen auf attacker-kontrollierte Server zwingen und dabei Authentifizierungshashes preisgeben. Die neu identifizierte Schwachstelle im search:-Handler nutzt denselben Angriffsvektor mit URI-basierter Umleitung.
Für CISO bedeutet dies ein zusätzliches Authentifizierungs-Risiko auf Systemen, auf denen der Windows-Such-Handler aktiviert ist. NTLMv2-Hashes sind zentrales Ziel von Pass-the-Hash-Angriffen und können – sofern schwache Passwörter zugrunde liegen oder auf offline verfügbaren Rechenkapazitäten – geknackt werden. Das Fehlen eines Patches erfordert präventive Kontrollmaßnahmen: Blockierung verdächtiger URI-Handler über GPO, Segmentierung von Benutzernetzwerken oder Deaktivierung des Windows Search bei hohen Sicherheitsanforderungen.
Quelle: thehackernews.com · Erschienen 3. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.