Ungepatchte Windows-Lücke: Einzelner Klick stiehlt NTLMv2-Hash über Sucheingabe-Handler
Sicherheitsforscher von Huntress haben eine ungepatchte Schwachstelle im Windows-search:-URI-Handler aufgedeckt. Ein einziger Klick auf einen präparierten Link genügt, um den NTLMv2-Hash des Benutzers an einen Angreifer zu übermitteln. Microsoft lehnte einen Patch ab.
Sicherheitsforscher des Unternehmens Huntress haben eine ungepatchte Schwachstelle im Windows-search:-URI-Handler aufgedeckt, die mit einem einzigen Klick auf einen manipulierten Link den NTLMv2-Hash des angemeldeten Benutzers an einen vom Angreifer kontrollierten SMB-Server überträgt. Microsoft wurde am 15. April 2026 im Rahmen einer Responsible-Disclosure-Meldung informiert, lehnte eine Behebung jedoch mit der Begründung ab, das Problem erfülle nicht den Schwellenwert für eine Einstufung als „Important" oder „Critical". Eine CVE-Nummer wurde nicht vergeben, ein Fix ist nicht geplant. Betroffen sind alle Windows-Versionen mit aktivem search:-URI-Handler – mit besonders hohem Risiko für Unternehmensumgebungen ohne SMB-Egress-Filterung.
Die Schwachstelle
Der search:-URI-Handler ist eine in Windows integrierte Funktion, die es Anwendungen und Webseiten erlaubt, die Windows-Suche direkt aus einem Link heraus zu öffnen. Huntress stellte fest, dass ein speziell gestalteter search:-Link Windows dazu veranlassen kann, sich automatisch gegen einen externen SMB-Server zu authentifizieren – dabei wird der NTLMv2-Hash des aktuell angemeldeten Benutzers übertragen. Eine weitere Nutzerinteraktion über den initialen Klick hinaus ist nicht erforderlich.
Das Angriffsszenario ist technisch identisch mit dem Mechanismus hinter CVE-2026-33829, einer im April 2026 gepatchten NTLM-Leak-Schwachstelle im Windows Snipping Tool (CVSS 4.3). Der entscheidende Unterschied: Für den search:-URI-Handler existiert kein Patch. Angreifer, die mit Tools wie Responder den ausgehenden SMB-Verkehr abfangen, erhalten den NTLMv2-Hash im Klartext und können diesen anschließend für NTLM-Relay-Angriffe gegen interne Dienste oder für Offline-Brute-Force-Attacken verwenden.
Bin ich betroffen?
Betroffen sind alle Windows-Systeme, auf denen der search:-URI-Handler aktiv ist. Das gilt für alle aktuellen Windows-Versionen. Das Risiko ist besonders hoch, wenn ausgehender SMB-Verkehr (TCP/445, TCP/139) vom Client-Netzwerk nach extern oder in andere Netzwerksegmente nicht gefiltert wird. In typischen Unternehmensumgebungen ohne strikte Egress-Filterung ist die Angriffsfläche damit sehr groß.
Das folgende Tabellen-Übersicht zeigt die bekannten Eckdaten der Schwachstelle:
| Eigenschaft | Details |
|---|---|
| Betroffene Komponente | Windows search:-URI-Handler |
| CVE-Nummer | Keine zugewiesen |
| CVSS-Score | Nicht vergeben (kein Patch) |
| Vergleichs-CVE | CVE-2026-33829 (Snipping Tool, CVSS 4.3, gepacht) |
| Betroffene Versionen | Alle Windows-Versionen mit aktivem search:-URI-Handler |
| Offizieller Patch | Nicht verfügbar, nicht geplant |
Wie behebe ich das?
Da Microsoft keinen Patch bereitstellt, sind Administratoren auf Workarounds angewiesen. Huntress empfiehlt folgende Sofortmaßnahmen:
- Ausgehenden SMB-Verkehr blockieren: TCP/445 und TCP/139 an der Firewall für Hosts ohne legitimen SMB-Egress-Bedarf sperren. Wie eine Firewall-Grundkonfiguration unter pfSense/OPNsense umgesetzt wird, zeigt die Anleitung zur pfSense/OPNsense-Firewall-Erstkonfiguration.
- SMB-Signing erzwingen: Mittels Gruppenrichtlinien das SMB-Signing auf allen Clients und Servern aktivieren. Das verhindert NTLM-Relay-Angriffe, auch wenn ein Hash abgefangen wird. Hinweise zur Konfiguration von Gruppenrichtlinien finden sich in der Anleitung zu Gruppenrichtlinien (GPO) – Grundlagen und Praxis.
- NTLM einschränken oder deaktivieren: Im Active Directory NTLM-Authentifizierung wo möglich deaktivieren oder zumindest auf vertrauenswürdige Systeme beschränken. Details zur Active-Directory-Härtung bietet die Anleitung zum Einrichten einer Active-Directory-Domäne.
Was bedeutet das für Unternehmen?
Die Entscheidung von Microsoft, die Schwachstelle nicht zu beheben, stellt Unternehmen vor ein dauerhaftes Restrisiko. Der Angriffsweg ist niedrigschwellig: Ein Phishing-Link in einer E-Mail oder auf einer kompromittierten Webseite reicht aus, um den Anmeldehash eines Mitarbeiters abzugreifen – ohne dass der Nutzer weitere Schritte unternehmen muss. NTLMv2-Hashes ermöglichen in Active-Directory-Umgebungen laterale Bewegung, den Zugriff auf interne Dienste per NTLM-Relay und bei schwachen Passwörtern erfolgreiche Offline-Brute-Force-Angriffe.
Der Fall zeigt ein grundsätzliches Problem: Schwachstellen, die vom Hersteller als nicht kritisch eingestuft werden, bleiben dauerhaft ungepacht – obwohl sie in der Praxis ernsthafte Konsequenzen haben können. Sicherheitsteams sollten den Vorfall zum Anlass nehmen, Egress-Filterung und NTLM-Konfiguration in ihrer Umgebung zu überprüfen und zu härten. Eine aktive Überprüfung der Windows-Update-Strategie sowie die Nutzung von WSUS oder Update for Business für schnelle Reaktionen auf zukünftige Patches bleibt ebenfalls empfehlenswert.
Quellen: The Hacker News: Unpatched Windows Search URI Vulnerability Lets Attackers Steal NTLMv2 Hashes | Huntress: Unpatched NTLM Leakage in Windows search URI Handler | SC Media: Unpatched Windows Search URI Handler Issue Leaks NTLMv2 Hashes
