Windows Snipping Tool 漏洞通过恶意链接泄露 NTLM 哈希

执行摘要

针对微软Windows Snipping Tool中的一个漏洞的概念验证漏洞利用程序，跟踪编号为CVE-2026-33829，已经公开发布。这个漏洞允许攻击者通过诱使用户点击恶意链接，悄无声息地窃取用户的Net-NTLMv2凭证哈希值。根据对公开PoC的分析，该漏洞源于工具处理ms-screensketch深度链接协议的方式，可以被滥用以迫使应用程序向攻击者控制的服务器进行身份验证。

技术分析

漏洞CVE-2026-33829是Windows Snipping Tool（及其前身Snip & Sketch）使用的ms-screensketch协议URI处理器注册中的逻辑缺陷。当用户点击一个特别制作的链接（例如，在网络钓鱼电子邮件或网页中），就会调用Snipping Tool。然后应用程序尝试从攻击者在恶意URI中指定的服务器加载远程资源，例如图像。这一行为触发了自动的Windows身份验证尝试，将用户的Net-NTLMv2哈希发送到攻击者的服务器，除了打开Snipping Tool窗口外，没有任何可见的交互或警告。

公开的概念验证演示了这种攻击是隐蔽的，并且只需要用户进行初始点击之外的任何交互。然后被盗的NTLM哈希可以在哈希传递或中继攻击中使用，以获得对用户有权限的其他网络资源的未经授权的访问，假设目标环境不强制执行SMB签名或其他NTLM中继缓解措施。该漏洞存在于安装了Snipping Tool的Windows 10和Windows 11系统的标准配置中。

入侵指标

在源材料中未识别出任何入侵指标。

战术、技术与程序

展示的主要技术是滥用ms-screensketch URI协议处理器来启动未经授权的身份验证尝试（T1189: 驱动-by Compromise, T1601: Modify System Image）。这导致通过强制传输NTLMv2哈希来收集凭证（T1557.001: LLMNR/NBT-NS Poisoning and SMB Relay）。攻击链依赖于初始访问向量，如网络钓鱼（T1566），以传递恶意链接。

威胁行为者背景

目前还没有公开将特定威胁行为者归因于利用此漏洞。公开发布功能性概念验证显著降低了机会主义攻击者和寻求通过凭证盗窃获得初始网络立足点的勒索软件分支机构的进入门槛。这种技术与更广泛的攻击者趋势一致，他们专注于滥用合法的Windows组件和协议进行横向移动。

缓解措施与建议

截至源出版物发布日期，微软尚未发布CVE-2026-33829的补丁。主要的即时缓解措施是通过Windows注册表在系统级别禁用ms-screensketch URI协议处理器。组织还应该在所有系统上强制执行SMB签名，以中和NTLM中继攻击，鉴于被盗凭证的性质，这是一个关键的控制措施。网络级控制可以阻止工作站向互联网的出站SMB和相关身份验证流量，以防止哈希外泄。应该教育用户避免点击未经请求的链接，尽管攻击利用了受信任的本地应用程序，减少了仅靠用户意识的有效性。