Vulnerabilidad sin parche en Windows Search URI permite robar hashes de autenticación NTLM
Investigadores divulgaron una vulnerabilidad en el manejador URI de Windows Search que permite a un atacante robar hashes NTLMv2 —las credenciales cifradas usadas para autenticación en redes Windows— sin interacción activa del usuario. Los hashes pueden usarse para ataques de pass-the-hash o descifrado de contraseñas.
Contexto
Investigadores de Huntress divulgaron una vulnerabilidad en el manejador URI search: de Windows —el componente que abre resultados de búsqueda desde enlaces— que permite a un atacante robar hashes NTLMv2. Un hash NTLMv2 es la versión cifrada de la contraseña de Windows que el sistema usa para autenticación en redes; quien lo tiene puede usarlo directamente para autenticarse como ese usuario en otros sistemas de la red sin conocer la contraseña real —técnica conocida como “pass-the-hash”—.
El fallo es similar a CVE-2026-33829, que afectaba la herramienta de recorte de Windows. Microsoft publicó un parche para CVE-2026-33829, pero esta variante en search: no tiene parche disponible al cierre de este reporte.
Impacto potencial
Para personas
Usuarios de Windows en entornos de red corporativa están expuestos. Un atacante con acceso a la red local puede robar credenciales de autenticación sin que el usuario haga nada activamente.
Para organizaciones
El hash robado permite al atacante moverse lateralmente dentro de la red Windows —acceder a otros sistemas usando las credenciales del usuario comprometido— sin conocer su contraseña. Es un vector de escalación de privilegios clásico en ataques de ransomware y espionaje corporativo.
Perspectiva GRC
La familia de vulnerabilidades NTLM es conocida desde hace años. Microsoft ha publicado guías para mitigar el uso de NTLM en redes modernas, pero muchas organizaciones todavía dependen de él por compatibilidad con sistemas legacy.
La pregunta de gobernanza: ¿tu red Windows todavía usa NTLM para autenticación, y si es así, hay un plan para migrar a Kerberos o autenticación moderna?
Recomendaciones
Para personas
Mantener Windows actualizado. Si tu organización tiene una política de gestión de parches, esta vulnerabilidad debe ser prioritaria en la próxima ronda de actualizaciones.
Para organizaciones
Evaluar si es posible deshabilitar o restringir el uso de NTLM en la red interna como medida de mitigación mientras Microsoft publica el parche. Adicionalmente, monitorear intentos de autenticación inusuales en sistemas críticos como señal de pass-the-hash en curso.
NTLM es un protocolo de autenticación de los años 90 que sigue activo en la mayoría de las redes Windows por compatibilidad. Cada año aparecen nuevas variantes de ataques contra él. La lección permanente: la deuda técnica en protocolos de autenticación legacy no es un problema de IT abstracto. Es una superficie de ataque concreta que los adversarios explotan activamente.
Leer fuente original →