CVE-2026-33829 w Windows Snipping Tool: wyciek NTLMv2 przez schemat ms-screensketch - Security Bez Tabu

CVE-2026-33829 w Windows Snipping Tool: wyciek NTLMv2 przez schemat ms-screensketch

Cybersecurity news

Wprowadzenie do problemu / definicja

CVE-2026-33829 to podatność w aplikacji Windows Snipping Tool, która może prowadzić do ujawnienia odpowiedzi NTLMv2 użytkownika. Problem wynika z obsługi schematu URI ms-screensketch oraz niewłaściwego przetwarzania parametru filePath, który w podatnych wersjach może wskazywać na zdalny zasób.

W praktyce atakujący może przygotować specjalny odnośnik prowadzący do udziału SMB kontrolowanego przez siebie. Po jego uruchomieniu system może automatycznie podjąć próbę uwierzytelnienia NTLM, co skutkuje przesłaniem materiału uwierzytelniającego do zewnętrznego hosta.

W skrócie

Podatność została publicznie ujawniona 14 kwietnia 2026 r. i dotyczy niezałatanych systemów Windows 10, Windows 11 oraz wybranych wersji Windows Server. Scenariusz ataku wymaga interakcji użytkownika, najczęściej kliknięcia spreparowanego linku lub odwiedzenia strony inicjującej otwarcie aplikacji przez schemat ms-screensketch.

  • wektor ataku opiera się na parametrze filePath wskazującym zdalny zasób UNC,
  • skutkiem jest ujawnienie odpowiedzi Net-NTLM użytkownika,
  • przejęty materiał może posłużyć do relay, prób łamania offline lub dalszych etapów ataku,
  • ocena CVSS 4.3 może nie odzwierciedlać pełnego ryzyka w środowiskach domenowych.

Kontekst / historia

Wymuszanie uwierzytelnienia NTLM do zewnętrznych zasobów od lat pozostaje znaną techniką w ekosystemie Windows. Atakujący regularnie wykorzystują aplikacje, komponenty systemowe i niestandardowe schematy URI, aby sprowokować połączenia SMB lub HTTP kończące się ujawnieniem poświadczeń w postaci odpowiedzi Net-NTLM.

W przypadku CVE-2026-33829 problem dotyczy wbudowanego narzędzia do wykonywania i edycji zrzutów ekranu. Według opublikowanych informacji podatność została zgłoszona producentowi 23 marca 2026 r., a poprawka bezpieczeństwa została udostępniona 14 kwietnia 2026 r. Tego samego dnia pojawiły się również publiczne opisy techniczne oraz materiały demonstracyjne.

Analiza techniczna

Rdzeń podatności polega na tym, że Snipping Tool rejestruje schemat URI ms-screensketch. W podatnych wersjach parametr filePath może wskazywać na ścieżkę UNC prowadzącą do zewnętrznego zasobu SMB. Po otwarciu takiego odnośnika system przekazuje żądanie do aplikacji, która próbuje uzyskać dostęp do wskazanego pliku.

Jeżeli ścieżka prowadzi do hosta kontrolowanego przez atakującego, system może automatycznie rozpocząć uwierzytelnienie NTLM. W rezultacie odpowiedź Net-NTLM użytkownika trafia do zewnętrznego serwera. Samo to nie musi oznaczać natychmiastowego przejęcia konta, ale dostarcza napastnikowi cennego materiału do dalszych działań.

Wektor jest szczególnie wiarygodny z perspektywy socjotechniki. Link może wyglądać jak odwołanie do obrazu, zrzutu ekranu, tapety lub dokumentu graficznego. Użytkownik widzi legalnie wyglądające żądanie uruchomienia aplikacji, podczas gdy proces uwierzytelnienia odbywa się w tle, bez wyraźnych oznak incydentu.

Publiczne opisy exploitów pokazują także, że podstawowy mechanizm może być łączony z dodatkowymi technikami przechwytywania poświadczeń. Kluczowe jest jednak rozróżnienie między samą podatnością a rozszerzonymi scenariuszami ofensywnymi. Istotą CVE-2026-33829 pozostaje możliwość wymuszenia ujawnienia odpowiedzi NTLM poprzez kontrolowany parametr filePath przekazany do Snipping Tool.

Konsekwencje / ryzyko

Najważniejszym skutkiem jest wyciek odpowiedzi NTLMv2 użytkownika do infrastruktury atakującego. W środowiskach firmowych taki artefakt może stać się punktem wyjścia do kolejnych etapów operacji.

  • próby NTLM relay wobec usług akceptujących ten mechanizm,
  • wykorzystanie przechwyconego materiału w określonych scenariuszach pass-the-hash,
  • łamanie odpowiedzi offline,
  • rozpoznanie aktywnych kont oraz przygotowanie ruchu bocznego.

Ryzyko rośnie w organizacjach, które nadal szeroko dopuszczają NTLM, nie blokują wychodzącego ruchu SMB do internetu i nie wdrożyły mechanizmów ograniczających relay. Z tego względu formalnie umiarkowana ocena CVSS może nie oddawać realnego wpływu podatności na bezpieczeństwo środowisk domenowych.

Istotne jest również to, że atak nie wymaga uprawnień administracyjnych ani klasycznego malware. Wystarczy interakcja użytkownika, co czyni ten wektor atrakcyjnym dla kampanii phishingowych, działań red team oraz grup specjalizujących się w kradzieży poświadczeń.

Rekomendacje

Najważniejszym działaniem naprawczym jest wdrożenie aktualizacji bezpieczeństwa opublikowanych 14 kwietnia 2026 r. Organizacje powinny potwierdzić, że wszystkie objęte podatnością stacje robocze i serwery zostały zaktualizowane do wersji wskazanych przez producenta jako naprawione.

  • blokować lub istotnie ograniczać wychodzący ruch SMB do internetu,
  • redukcjonować użycie NTLM tam, gdzie jest to możliwe,
  • włączyć zabezpieczenia przed NTLM relay,
  • monitorować nietypowe połączenia SMB i HTTP inicjowane przez stacje użytkowników,
  • analizować zdarzenia związane z uruchamianiem nietypowych schematów URI,
  • szkolić użytkowników, aby nie akceptowali żądań otwarcia aplikacji z nieznanych źródeł.

Z punktu widzenia SOC i zespołów reagowania warto przygotować detekcje korelujące kliknięcie w link, uruchomienie Snipping Tool oraz następujące po nim połączenie uwierzytelnione do hosta spoza zaufanej infrastruktury. Należy także przejrzeć konfigurację usług podatnych na NTLM relay, ponieważ sam wyciek odpowiedzi bywa jedynie pierwszym etapem szerszego łańcucha ataku.

Podsumowanie

CVE-2026-33829 pokazuje, że nawet pozornie niegroźna aplikacja użytkowa może stać się skutecznym narzędziem do wycieku poświadczeń. Źródłem problemu jest obsługa schematu ms-screensketch i możliwość przekazania zdalnej ścieżki prowadzącej do wymuszonego uwierzytelnienia NTLM.

Mimo że podatność wymaga interakcji użytkownika i otrzymała umiarkowaną ocenę CVSS, jej znaczenie operacyjne w środowiskach domenowych jest wyraźne. Priorytetem powinno być szybkie wdrożenie poprawek, ograniczenie zależności od NTLM oraz blokowanie nieuzasadnionego ruchu SMB poza organizację.

Źródła

  1. Exploit Database – Windows Snipping Tool – NTLMv2 Hash Hijack – https://www.exploit-db.com/exploits/52567
  2. NVD – CVE-2026-33829 Detail – https://nvd.nist.gov/vuln/detail/CVE-2026-33829
  3. Microsoft Security Response Center – CVE-2026-33829 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33829
  4. blackarrowsec redteam-research – CVE-2026-33829 – https://github.com/blackarrowsec/redteam-research/tree/master/CVE-2026-33829