В последните дни специалисти по киберсигурност съобщиха за нова уязвимост в операционната система Windows, която позволява на злонамерени лица да извлекат NTLMv2 хешове на потребителски пароли. Този проблем засяга обработчика на URI протокола search:, който се използва за търсене в системата и приложенията.
Какво се случи?
Изследователи от компанията Huntress откриха, че чрез манипулиране на search: URI може да се предизвика изтичане на NTLMv2 хешове, които след това могат да бъдат използвани за атаки с повторно възпроизвеждане или други форми на компрометиране на достъпа. Тази уязвимост наподобява по своя характер вече известния проблем CVE-2026-33829, който засяга ms-screensketch: URI обработчика на Windows Snipping Tool и също позволява подобни атаки чрез фалшифициране.
До момента Microsoft не е пуснал официален ъпдейт за отстраняване на тази новооткрита уязвимост, което означава, че системите остават изложени на риск.
Защо това е важно?
NTLMv2 хешовете са криптографски представяния на пароли, които се използват за удостоверяване в Windows среди. Ако те бъдат откраднати, атакуващите могат да ги използват за достъп до системи без да знаят реалните пароли, което прави тази уязвимост особено опасна за корпоративни мрежи и чувствителни данни.
Проблемът с URI обработчиците в Windows показва, че дори компоненти, които изглеждат безобидни и са предназначени за улесняване на потребителското взаимодействие, могат да бъдат използвани за сложни атаки. Това подчертава необходимостта от по-задълбочено тестване и бързо реагиране при откриване на такива слабости.
По-широк контекст
Windows е най-разпространената операционна система в корпоративния сектор, което я прави основна цел за кибератаки. Уязвимости като тази в search: URI обработчика могат да бъдат използвани в сложни атаки, включително фишинг, lateral movement и ескалация на привилегии.
Подобни проблеми с URI обработчиците не са нови и показват, че интеграцията на различни системни компоненти трябва да бъде внимателно проектирана и защитена. В миналото подобни уязвимости са довели до сериозни пробиви, което налага повишено внимание от страна на разработчиците и администраторите.
Какво може да следва?
Очаква се Microsoft да издаде кръпка, която да отстрани уязвимостта в близко бъдеще. Междувременно експертите препоръчват на организациите да следят за необичайна активност в мрежите си и да прилагат допълнителни мерки за защита, като например ограничаване на достъпа до критични системни компоненти и използване на многофакторна автентикация.
От гледна точка на потребителите и администраторите, важно е да се поддържат системите актуализирани и да се прилагат добри практики за сигурност, за да се минимизира рискът от експлоатация на подобни уязвимости.
