Microsoft가 패치를 거부한 Windows Search URI 핸들러 취약점. CVE-2026-33829와 동일한 SMB 인증 강제 메커니즘으로 NTLMv2 해시를 탈취하며, 클릭 한 번으로 작동한다. Huntress 연구 기반 탐지 관점 포함.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 6월 2일, 보안 연구원 Andrew Schwartz(Huntress)는 Windows의 search: URI 핸들러를 악용해 클릭 한 번으로 NTLMv2 해시를 탈취할 수 있다는 사실을 공개했다. NTLMv2 해시는 SMB 서명이 비활성화된 네트워크에서 도메인 내 횡적 이동에 즉시 활용되거나, 서명이 활성화된 환경에서도 오프라인 패스워드 크래킹 재료가 된다. 이 취약점은 2026년 4월 Microsoft가 패치를 배포한 (Windows Snipping Tool)와 동일한 SMB 인증 강제 메커니즘을 공유한다. 하나는 패치됐고, 다른 하나는 Microsoft가 패치를 거부했다. 그 변종은 오늘도 사용자 시스템에 존재한다.
| 항목 | CVE-2026-33829 (Snipping Tool) | Windows Search URI (미패치) |
|---|---|---|
| URI 핸들러 | ms-screensketch: | search: / search-ms: |
| CVSS | 4.3 (Medium) | 미산정 (Moderate 추정) |
| 패치 | 2026-04-14 배포 | Microsoft 거부 |
Windows는 ms-screensketch:, search: 같은 URI 스킴을 등록해 내장 앱을 딥링크로 실행한다. 이 스킴들은 파일 탐색기 또는 브라우저를 통해 호출되며, 파라미터 검증 없이 외부 경로를 처리한다.
는 이 취약점 패밀리의 첫 공개 사례다. Snipping Tool의 ms-screensketch: URI 핸들러가 filePath 파라미터에 UNC 경로를 그대로 처리하면서 Windows가 해당 경로에 SMB 인증을 시도했고, NTLMv2 해시가 유출됐다. Microsoft는 CVSS 4.3을 부여하고 2026년 4월 14일 패치를 배포했다.
이 패밀리는 최초가 아니었다. Trellix는 2023년 search: URI 스킴을 통한 파일 탐색기 악용 경로를 이미 문서화했다. Varonis는 2024년 search-ms: URI 핸들러를 통한 NTLM 해시 유출 원리를 기술했다. Huntress의 Andrew Schwartz는 두 선행 연구를 연결해 search: 핸들러에서 동일한 원리가 작동함을 확인하고 2026년 4월 15일 Microsoft에 제보했다.
5월 15일 Microsoft의 답변은 명확했다. "Critical 또는 Important 수준이 아니면 패치하지 않는다." 와 기술적으로 동일한 구조임에도, search: 핸들러 변종은 CVE 번호도 패치도 부여받지 못한 채 종결됐다. Huntress는 6월 2일 이 사실을 공개했다.
국내 기업 환경에서도 Windows Active Directory와 NTLM 인증은 여전히 광범위하게 사용된다. 레거시 시스템이 혼재한 환경에서 SMB 서명이 비활성화된 경우, 이 취약점의 실제 파급력은 Microsoft의 등급 평가보다 훨씬 높을 수 있다.
search: URI 핸들러는 Windows 탐색기의 COM 컴포넌트(CLSID {90b9bce2-b6db-4fd3-8451-35917ea1081b}, ExplorerFrame.dll의 SearchExecute)를 통해 처리된다. search:와 search-ms: 두 스킴이 동일한 COM 활성화 경로를 공유한다.
핵심 파라미터는 crumb=location:이다. 정상 용도는 검색 범위 지정이지만, 이 파라미터는 \\attacker-server\share 형태의 UNC 경로를 그대로 허용한다. 악성 링크가 클릭되면 Windows는 해당 경로에 자동으로 SMB 연결을 시도하고, 이 과정에서 NTLMv2 Challenge-Response가 공격자 서버로 전달된다. 사용자 화면에는 아무런 경고가 표시되지 않고 백그라운드에서 완료된다. 동일 로그온 세션에서 첫 번째 호출에서만 유출이 발생하며, 이후 동일 링크는 SMB 요청을 재발생시키지 않는다.
Windows 11 25H2 Pro(Build 26200.8524)에서 확인됐으며, 표준 사용자 권한과 기본 Defender 설정 환경에서도 작동한다.
탈취된 NTLMv2 해시는 세 가지 공격 경로에 활용된다. SMB 서명이 비활성화된 환경에서는 즉시 NTLM 릴레이 공격으로 도메인 내 횡적 이동이 가능하다. 서명이 활성화된 경우에도 오프라인 패스워드 크래킹 재료로 사용될 수 있다. Responder 같은 SMB 응답 위조 도구를 운영하는 공격자 환경에서는 해시 캡처가 자동화된다.
Microsoft가 는 패치하면서 Search URI 변종은 거부한 기술적 근거는 공개되지 않았다. 두 취약점은 공격 벡터, 권한 요구사항, 사용자 상호작용, 영향 범위가 사실상 동일하다. 이 결정은 동일한 코드베이스에 존재하는 알려진 취약점이 벤더의 우선순위 기준에 따라 방치될 수 있다는 사실을 보여준다.
Huntress는 공개 발표 전 Microsoft에 90일 이상의 패치 기간을 부여했다. 취약점이 알려진 상태에서 공개됐으므로, 이 정보를 활용하려는 공격자가 이미 분석을 진행 중일 가능성이 있다.
T1187(Forced Authentication) — 공격자가 피해자의 인증을 강제로 유도해 NTLMv2 재료를 탈취하는 기법이다. search: URI 핸들러 악용은 이 기법의 직접적 구현이다.
CVE-2026-33829 Sigma 룰 (detection.fyi, 룰 ID 7c3a5b1d-9e2f-4a8c-b5d7-1e0f3c6a9b2d, 2026-04-28):
title: Potential CVE-2026-33829 Exploitation - Windows Snipping Tool Remote File Path URI
status: test
level: high
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith: '\SnippingTool.exe'
CommandLine|contains:
- 'ms-screensketch:edit?&filePath=\\\\'
- 'ms-screensketch:edit?&filePath=%%5C'
- 'ms-screensketch:edit?&filePath=%5C'
- 'ms-screensketch:edit?&filePath=http'
condition: selection
tags:
- attack.credential-access
- attack.t1187
- cve.2026-33829
Search URI 변종 탐지는 이 룰을 확장해 브라우저 또는 메일 클라이언트 프로세스의 CommandLine에서 search: 및 search-ms: 스킴과 crumb=location:\\\\ 패턴을 detection 조건에 추가하면 구성 가능하다.
Sysmon 흔적:
search: URI 관련 프로세스 생성Atomic Red Team T1187 테스트: 로컬 SMB 서버를 대상으로 search: URI를 통한 인증 유도를 실행하는 방식으로 탐지 규칙 유효성을 검증할 수 있다.
Search URI 변종에 패치가 없다는 사실은 탐지 측 대응을 더욱 중요하게 만든다. 는 수정됐지만, 동일 메커니즘의 이 변종은 Sysmon Event ID 3의 비정상 TCP/445 연결을 포착하는 것이 현재로서 가장 실질적인 대응 지점이다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.