C
月内に
Windowsの「search-ms:」URI処理プログラムに、NTLM認証情報を漏洩させる脆弱性がHuntressによって指摘されました
📌 一言でいうと
Windowsの「search-ms:」URI処理プログラムに、NTLM認証情報を漏洩させる脆弱性がHuntressによって指摘されました。悪意のあるリンクをクリックすると、システムが攻撃者のSMBサーバーに自動的に接続し、Net-NTLMv2ハッシュが流出する可能性があります。Microsoftはこの問題を修正していないため、NTLMの無効化やSMBアウトバウンド通信の遮断などの緩和策が推奨されています。
🔍該当判定
- 社内でWindows PC(Windows 10/11など)を利用している
- 社内ネットワークでファイル共有(SMB)を利用している
- 社員がメールやチャットで送られてきた外部リンクを直接クリックする環境にある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 可能な限りNTLMプロトコルを無効化する。2. 外部(インターネット)へのSMB(TCP 445番ポート)アウトバウンド通信をファイアウォールで遮断する。3. ネットワークトラフィックにおける不審なURI関連イベントを監視する。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なリンクのクリックに関するご注意
お疲れさまです。情報システム担当です。
Windowsの機能を利用した、パスワード情報(認証情報)を盗み出す攻撃手法が報告されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元からのメールやチャットに含まれるリンク(特に不自然な形式のもの)は絶対にクリックしないでください。
2. 万が一、不審なリンクをクリックしてしまった場合は、すぐに情報システム担当までご連絡ください。
対応期限: 本日より継続的に注意してください
お疲れさまです。情報システム担当です。
Windowsの機能を利用した、パスワード情報(認証情報)を盗み出す攻撃手法が報告されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元からのメールやチャットに含まれるリンク(特に不自然な形式のもの)は絶対にクリックしないでください。
2. 万が一、不審なリンクをクリックしてしまった場合は、すぐに情報システム担当までご連絡ください。
対応期限: 本日より継続的に注意してください
Subject: [Security Alert] Caution Regarding Suspicious Links
Dear employees,
We would like to alert you to a reported attack method that steals Windows authentication credentials via malicious links.
Requested Actions:
1. Do not click on links from unknown senders in emails or chats, especially those with unusual formats.
2. If you have accidentally clicked a suspicious link, please notify the IT department immediately.
Deadline: Ongoing awareness required
Dear employees,
We would like to alert you to a reported attack method that steals Windows authentication credentials via malicious links.
Requested Actions:
1. Do not click on links from unknown senders in emails or chats, especially those with unusual formats.
2. If you have accidentally clicked a suspicious link, please notify the IT department immediately.
Deadline: Ongoing awareness required
件名: 【共有】Windows Search URI (search-ms:) によるNTLMハッシュ漏洩への対応について
お疲れさまです。Windows Search URIの処理に関する脆弱性の情報共有です。
■ 概要
Windowsの「search-ms:」URIハンドラを悪用し、ユーザーに悪意のあるリンクをクリックさせることで、攻撃者のSMBサーバーへNet-NTLMv2ハッシュを自動的に送信させる攻撃が可能です。本件はCVE-2026-33829と同様の性質を持ちますが、現時点でMicrosoftによる修正パッチは提供されていません。
■ 影響範囲
- Windows OS (search-ms: URI処理を利用する環境)
■ 対応手順
1. 組織内でのNTLM利用を可能な限り制限・無効化し、Kerberosへの移行を推進する。
2. 境界ファイアウォールにて、インターネット方向へのSMB(TCP 445)通信を遮断する。
3. SIEM等で不審な外部SMB接続やsearch-ms URIの実行ログを監視する。
■ 参考情報
- Huntress Research
対応優先度: 高
対応期限: 速やかに設定確認を推奨
お疲れさまです。Windows Search URIの処理に関する脆弱性の情報共有です。
■ 概要
Windowsの「search-ms:」URIハンドラを悪用し、ユーザーに悪意のあるリンクをクリックさせることで、攻撃者のSMBサーバーへNet-NTLMv2ハッシュを自動的に送信させる攻撃が可能です。本件はCVE-2026-33829と同様の性質を持ちますが、現時点でMicrosoftによる修正パッチは提供されていません。
■ 影響範囲
- Windows OS (search-ms: URI処理を利用する環境)
■ 対応手順
1. 組織内でのNTLM利用を可能な限り制限・無効化し、Kerberosへの移行を推進する。
2. 境界ファイアウォールにて、インターネット方向へのSMB(TCP 445)通信を遮断する。
3. SIEM等で不審な外部SMB接続やsearch-ms URIの実行ログを監視する。
■ 参考情報
- Huntress Research
対応優先度: 高
対応期限: 速やかに設定確認を推奨
Subject: [Technical Share] NTLM Hash Leakage via Windows Search URI (search-ms:)
Dear IT/Security Team,
This is a technical alert regarding a vulnerability in the Windows 'search-ms:' URI handler.
■ Overview
Attackers can leverage the 'search-ms:' URI to force a system to automatically connect to a remote SMB server, resulting in the leakage of Net-NTLMv2 hashes. This behavior is similar to CVE-2026-33829, but Microsoft has not yet issued a patch for this specific vector.
■ Scope
- Windows OS environments utilizing the search-ms: URI handler.
■ Mitigation Steps
1. Disable or restrict NTLM usage across the domain and migrate to Kerberos.
2. Block outbound SMB traffic (TCP port 445) at the network perimeter.
3. Monitor network logs for unusual outbound SMB connections and search-ms URI activity.
■ Reference
- Huntress Research
Priority: High
Deadline: Immediate review recommended
Dear IT/Security Team,
This is a technical alert regarding a vulnerability in the Windows 'search-ms:' URI handler.
■ Overview
Attackers can leverage the 'search-ms:' URI to force a system to automatically connect to a remote SMB server, resulting in the leakage of Net-NTLMv2 hashes. This behavior is similar to CVE-2026-33829, but Microsoft has not yet issued a patch for this specific vector.
■ Scope
- Windows OS environments utilizing the search-ms: URI handler.
■ Mitigation Steps
1. Disable or restrict NTLM usage across the domain and migrate to Kerberos.
2. Block outbound SMB traffic (TCP port 445) at the network perimeter.
3. Monitor network logs for unusual outbound SMB connections and search-ms URI activity.
■ Reference
- Huntress Research
Priority: High
Deadline: Immediate review recommended