CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

PoC lansat pentru o vulnerabilitate a Snipping Tool din Windows

21 aprilie 2026

Sursă: https://cybersecuritynews.com

A fost dezvăluit public un exploit de tip proof-of-concept (PoC) pentru o vulnerabilitate recent divulgată în Snipping Tool de la Microsoft, care permite atacatorilor să sustragă în mod ascuns hash-urile credențialelor Net-NTLM ale utilizatorilor, atrăgându-i pe aceștia către o pagină web rău intenționată.

Identificată ca CVE-2026-33829, vulnerabilitatea provine din modul în care Windows Snipping Tool gestionează înregistrările URI ale linkurilor directe folosind schema de protocol ms-screensketch. Versiunile afectate ale aplicației înregistrează acest link direct, acceptând un parametru filePath.

Din cauza lipsei unei validări corespunzătoare a datelor introduse, un atacator poate furniza o cale UNC care indică un server SMB la distanță, controlat de atacator, forțând astfel stabilirea unei conexiuni SMB autentificate și capturând, în acest proces, hash-ul Net-NTLM al utilizatorului.

Exploatarea necesită un nivel minim de cunoștințe tehnice. Un atacator trebuie doar să găzduiască o adresă URL rău intenționată sau o pagină HTML care activează automat deep link-ul și să determine utilizatorul să-l acceseze.

Atunci când un utilizator accesează link-uk, se lansează aplicația Snipping Tool, care încearcă în mod ascuns să încarce resursa la distanță prin protocolul SMB. În timpul acestei încercări de conectare, Windows transmite automat răspunsul de autentificare Net-NTLM al utilizatorului către serverul atacatorului, expunând datele de autentificare care pot fi apoi accesate offline sau utilizate în atacuri de tip NTLM relay împotriva resurselor rețelei interne.

Microsoft a remediat vulnerabilitatea în cadrul actualizării de securitate Patch Tuesday din Aprilie 2026.

Instituțiile și utilizatorii individuali care utilizează versiunile afectate ale instrumentului Windows Snipping Tool ar trebui să instaleze imediat actualizarea de securitate din cadrul suitei Patch Tuesday.

Echipele de securitate ar trebui, de asemenea, să monitorizeze rețelele interne pentru a detecta conexiuni SMB de externare necunoscute (portul 445) către gazde externe sau necunoscute, care ar putea indica tentative active de exploatare.

Sursă: https://cybersecuritynews.com/windows-snipping-tool-ntlm-hash/

Ai mai putea citi

PoC lansat pentru o vulnerabilitate a Snipping Tool din Windows

21 aprilie 2026

O vulnerabilitate a Windows Active Directory permite executarea de cod malițios

16 aprilie 2026

Vulnerabilitate critică în interfața Nginx exploatată activ

16 aprilie 2026

O serie de pluginuri WordPress a fost compromisă pentru a distribui programe malware

16 aprilie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |