Дослідники з кібербезпеки оприлюднили технічні подробиці про нову невиправлену вразливість в операційній системі Microsoft Windows, яка дозволяє зловмисникам перехоплювати парольні хеші Net-NTLMv2 користувачів без їхнього відома. Проблема криється в архітектурі обробника уніфікованих ідентифікаторів ресурсів для вбудованої служби пошуку search:. Цей дефект працює за аналогічним принципом з вразливістю CVE-2026-33829, яка раніше вражала інструмент «Засіб витягання фрагментів» і була успішно усунена корпорацією Microsoft під час планового оновлення в квітні 2026 року. Суть загрози полягає в тому, що обробник URI приймає зовнішні параметри шляхів до файлів без належної перевірки та валідації вхідних даних, що дозволяє викликати примусове мережеве підключення операційної системи до віддалених серверів, контрольованих третіми особами.

Хронологія реалізації атаки демонструє, що зловмиснику достатньо змусити користувача натиснути на спеціально сформоване посилання на вебсайті або в електронному листі, після чого браузер або інша програма активує обробник search:. Операційна система Windows автоматично намагається встановити з’єднання з SMB-сервером зловмисника, використовуючи стандартний протокол автентифікації, під час чого відбувається витік мережевого хешу Net-NTLMv2 користувача. Отримані дані дають змогу хакерам проводити небезпечні атаки типу трансляції автентифікації, за допомогою яких вони можуть отримувати несанкціонований доступ до інших внутрішніх ресурсів та сервісів корпоративної мережі, діючи від імені скомпрометованого облікового запису. Після офіційного звернення дослідників від 15 квітня 2026 року корпорація Microsoft офіційно відмовилася випускати виправлення для цієї проблеми, мотивуючи рішення тим, що рівень небезпеки вразливості класифікується як середній, що не відповідає внутрішнім критеріям компанії для обов’язкового випуску термінових патчів безпеки.