Lỗ hổng chưa được vá trong Windows Search URI cho phép kẻ tấn công đánh cắp NTLMv2 hash

Các chuyên gia an ninh mạng vừa công bố chi tiết về một lỗ hổng bảo mật chưa được vá trên hệ điều hành Windows. Lỗ hổng này có thể bị khai thác để đánh cắp giá trị NTLMv2 hash của người dùng, từ đó tạo điều kiện cho các cuộc tấn công chiếm quyền điều khiển.

Cơ chế khai thác tương tự các lỗ hổng trước đây

Theo báo cáo từ Huntress, vấn đề nằm ở trình xử lý URI search:. Cơ chế này hoạt động tương tự như lỗ hổng CVE-2026-33829 từng ảnh hưởng đến công cụ Snipping Tool của Windows. Trong trường hợp đó, kẻ tấn công có thể lừa người dùng nhấp vào một liên kết được thiết kế đặc biệt thông qua email hoặc trang web. Nếu người dùng đồng ý mở liên kết, máy tính sẽ tự động kết nối đến một SMB server do kẻ tấn công kiểm soát, dẫn đến việc rò rỉ NTLMv2 hash.

Trong lỗ hổng mới này, thay vì sử dụng tham số filePath, kẻ tấn công sử dụng cú pháp search: kết hợp với crumb=location: để ép hệ thống truy cập vào một đường dẫn UNC độc hại. Chuyên gia Andrew Schwartz từ Huntress cho biết: “Lỗ hổng này sử dụng cùng một cơ chế rò rỉ NTLM, tạo ra kết quả tương tự và có mức độ nghiêm trọng trung bình.”

Phản hồi từ Microsoft và khuyến nghị bảo mật

Mặc dù đã được báo cáo cho Microsoft vào ngày 15/4/2026, hãng công nghệ này đã từ chối đưa ra bản vá với lý do lỗ hổng chưa đạt ngưỡng nghiêm trọng để ưu tiên xử lý. Điều này đồng nghĩa với việc người dùng hiện vẫn đang đối mặt với rủi ro.

Để tự bảo vệ trước nguy cơ bị tấn công relay và khai thác hash, các quản trị viên hệ thống được khuyến cáo thực hiện các biện pháp sau:

• Chặn các kết nối SMB hướng ra ngoài (TCP/445 và TCP/139) trên các máy trạm không cần thiết.
• Thiết lập SMB signing để ngăn chặn việc relay các hash đã thu thập được vào các dịch vụ nội bộ.
• Vô hiệu hóa NTLM trong môi trường mạng nếu có thể.

Nguồn tham khảo: The Hacker News