Exposición de hashes NTLMv2 por fallo en el manejador URI “search:” de Windows pone en alerta a los expertos

Introducción

Un grupo de investigadores de ciberseguridad ha revelado recientemente una vulnerabilidad sin parchear en el ecosistema Windows que puede ser aprovechada para filtrar el hash NTLMv2 de los usuarios. Este tipo de ataques permite a los adversarios capturar credenciales y, potencialmente, comprometer la seguridad de entornos corporativos a gran escala. El vector de ataque reside en el manejador URI “search:”, un componente poco explorado pero crítico en los flujos de interacción de Windows. El hallazgo, reportado por Huntress, se suma a la reciente oleada de vulnerabilidades asociadas a manejadores URI, como la identificada en CVE-2026-33829 que afectó al Snipping Tool.

Contexto del Incidente o Vulnerabilidad

El descubrimiento de esta vulnerabilidad se produce en un contexto de creciente explotación de los manejadores URI en Windows. Estos componentes permiten abrir aplicaciones específicas a través de enlaces especiales, lo que facilita la integración pero también expone la superficie de ataque. Anteriormente, CVE-2026-33829 mostró cómo el manejador “ms-screensketch:” podía utilizarse para suplantar identidades y exponer hashes NTLMv2. Ahora, el foco se traslada al manejador “search:”, que integra funcionalidades del buscador de Windows y está presente en todas las versiones modernas del sistema operativo.

Detalles Técnicos

La vulnerabilidad reside en la forma en que el manejador “search:” procesa enlaces manipulados. Un atacante puede crear un enlace “search:” especialmente diseñado y enviarlo a la víctima, por ejemplo, mediante phishing, documentos de Office o correos electrónicos. Cuando el usuario hace clic en el enlace, Windows intenta resolver el recurso solicitado y, si este apunta a un recurso SMB remoto (por ejemplo, \servidor-maliciosorecurso), se produce una autenticación automática basada en NTLM.

Durante este proceso, el sistema de la víctima envía su hash NTLMv2 al servidor controlado por el atacante. Este hash puede ser posteriormente crackeado offline o reutilizado en ataques de relay NTLM. El vector de ataque se alinea con técnicas MITRE ATT&CK como T1557 (Adversary-in-the-Middle) y T1110 (Brute Force), y los indicadores de compromiso (IoC) incluyen tráfico SMB sospechoso hacia dominios externos y registros de eventos de ejecución de manejadores URI con destinos no confiables.

Actualmente, no existe un CVE asignado específicamente a esta vulnerabilidad del manejador “search:”, pero su similitud con CVE-2026-33829 la convierte en una amenaza relevante. Herramientas como Metasploit y Cobalt Strike pueden ser adaptadas para explotar este tipo de vectores, facilitando la automatización del ataque.

Impacto y Riesgos

La exposición del hash NTLMv2 representa un riesgo severo para entornos corporativos y usuarios avanzados. Según estimaciones de Huntress, más del 85% de los sistemas Windows desplegados en infraestructuras empresariales mantienen habilitada la autenticación NTLM por motivos de compatibilidad. Un único hash filtrado puede permitir a los atacantes el movimiento lateral, la escalada de privilegios o el acceso a recursos críticos. En ataques dirigidos, como los perpetrados por APTs, este tipo de fuga de credenciales ha resultado en brechas significativas, con pérdidas económicas que pueden superar los 10 millones de euros según informes recientes de ENISA.

Medidas de Mitigación y Recomendaciones

Ante la ausencia de un parche oficial, los expertos recomiendan varias medidas defensivas:

– Deshabilitar el protocolo SMB saliente en los endpoints y servidores que no requieran acceso externo, bloqueando los puertos 445 y 139 a nivel de firewall.
– Monitorizar la red en busca de intentos de autenticación NTLM hacia dominios desconocidos, utilizando SIEMs y soluciones EDR.
– Restringir la ejecución de manejadores URI no esenciales a través de políticas de grupo.
– Concienciar a los usuarios sobre los riesgos de hacer clic en enlaces desconocidos, especialmente en correos electrónicos y documentos compartidos.
– Considerar la migración a mecanismos de autenticación más robustos, como Kerberos o credenciales basadas en certificados, en línea con las recomendaciones de NIS2 y el cumplimiento del GDPR.

Opinión de Expertos

Especialistas en ciberseguridad, como el equipo de respuesta de incidentes de Huntress, subrayan que “la exposición de hashes NTLMv2 sigue siendo una de las puertas de entrada preferidas por los atacantes en entornos Windows”. Analistas de SOC consultados consideran que “la combinación de manejadores URI y protocolos heredados como SMB/NTLM crea una superficie de ataque subestimada, pero altamente explotable”. Desde el ámbito del pentesting, se destaca la facilidad con la que puede integrarse este vector en campañas de phishing avanzadas, sin requerir interacción compleja por parte de la víctima.

Implicaciones para Empresas y Usuarios

Para las empresas, esta vulnerabilidad implica la necesidad de revisar urgentemente sus configuraciones de red y políticas de autenticación. El cumplimiento de normativas como GDPR y la inminente entrada en vigor de NIS2 hacen que la filtración de credenciales pueda derivar en sanciones significativas y daños reputacionales. Los usuarios avanzados y administradores de sistemas deben estar alerta ante intentos de explotación, reforzando la segmentación de red y aplicando el principio de mínimo privilegio.

Conclusiones

La nueva vulnerabilidad en el manejador “search:” de Windows evidencia la urgencia de auditar y limitar el uso de tecnologías heredadas como NTLM. A falta de un parche inmediato, la defensa en profundidad y la monitorización activa son esenciales para mitigar el riesgo. La presión regulatoria y el aumento de los ataques dirigidos hacen imprescindible que los responsables de seguridad actúen con rapidez, minimizando la exposición y reforzando la resiliencia de sus infraestructuras.

(Fuente: feeds.feedburner.com)