Пуснат PoC за уязвимост в Windows Snipping Tool, позволяваща изтичане на NTLM хешове
Публично беше публикуван proof-of-concept (PoC) за уязвимост в Windows Snipping Tool, която позволява извличане на Net-NTLM хешове без знанието на потребителя. Уязвимостта е обозначена като CVE-2026-33829 и се базира на начина, по който приложението обработва специфичен URI протокол.
Microsoft вече е адресирал проблема в актуализациите от април 2026 г., но наличието на работещ PoC повишава риска от реални атаки.
Как работи атаката
Уязвимостта използва ms-screensketch протокола, чрез който Snipping Tool може да бъде стартиран с подадени параметри.
При манипулация на параметъра filePath:
- атакуващият подава UNC път към външен SMB сървър
- Snipping Tool се стартира автоматично
- Windows извършва автентикация към този сървър
- Net-NTLM хешът се изпраща към атакуващия
Примерен payload:
Потребителят не вижда нищо необичайно, освен че приложението се отваря.
Защо е важно
Тази уязвимост е ефективна, защото използва напълно легитимно поведение на системата.
- няма зловреден файл
- няма класически exploit
- няма нужда от инсталация
Вместо това се разчита на:
- доверени приложения
- автоматична автентикация
- социално инженерство
Това я прави особено подходяща за фишинг кампании в корпоративна среда.
Потенциален ефект
След компрометиране на NTLM хешове, атакуващите могат да:
- извършват offline разбиване на пароли
- провеждат NTLM relay атаки
- получат достъп до вътрешни ресурси
- извършат странично придвижване в мрежата
Дори без незабавен пробив, рискът остава висок.
Корекция и защита
Microsoft публикува корекция на 14 април 2026 г.
Препоръчителни мерки:
- инсталиране на последните актуализации
- блокиране на изходящ SMB трафик към интернет
- наблюдение на необичаен SMB трафик
- обучение на потребителите
- анализ на логове за автентикация
DIAMATIX перспектива
Този случай показва ясно как заплахите се развиват. Атаките вече не разчитат на очевиден зловреден код, а на злоупотреба с нормално поведение.
Тук няма сложна експлоатация. Има:
- доверено приложение
- очаквано действие от потребителя
- скрито изтичане на данни
Подобни атаки трудно се улавят без реална видимост върху процесите и мрежовия трафик.
Подходът на DIAMATIX е фокусиран върху:
- непрекъснат мониторинг
- корелация на събития
- ранно откриване на аномалии
Защитата не е само предотвратяване. Тя е способност да се види и разбере какво се случва в средата в реално време.
Източници
- Microsoft – актуализации по сигурността (април 2026)
- Black Arrow Security – изследване на уязвимостта и публикуван PoC
- Публично достъпни технически анализи и препоръки за сигурност
Получавайте актуални новини и експертни анализи за киберсигурност
