关键词
漏洞
微软已修复Windows截图工具中一个中危安全漏洞,该漏洞可能被恶意攻击者利用来窃取用户凭证。编号为CVE-2026-33829的欺骗漏洞已在2026年4月14日的安全更新中获得官方补丁。
该漏洞由Blackarrow(Tarlogic)安全研究人员发现并报告,凸显了Windows环境中应用程序URL处理程序持续存在的安全风险。CVE-2026-33829的CVSS 3.1评分为4.3,被归类为敏感信息向未授权方暴露(CWE-200)。
漏洞技术原理
漏洞存在于Windows截图工具处理深层链接的方式中。具体而言,该应用程序在处理ms-screensketchURI方案时未能正确验证输入。根据微软和Blackarrow提供的漏洞披露信息,攻击者可利用此弱点强制建立经过身份验证的服务器消息块(SMB)连接到攻击者控制的远程服务器。
攻击链运作机制
虽然漏洞利用需要用户交互,但攻击复杂度被评估为较低。根据已公开的PoC,攻击链运作方式如下:
- 恶意链接构造
:攻击者使用
ms-screensketch: edit参数制作特定网页链接 - 欺骗性路由
:链接将filePath参数指向恶意外部SMB服务器
- 用户交互
:攻击者诱骗受害者点击钓鱼邮件或遭入侵网站中的链接,促使用户确认启动截图工具程序
- 凭证窃取
:用户批准后,截图工具会连接远程服务器获取伪造文件,同时在后台静默泄露用户的NTLMv2密码哈希
- 未授权访问
:攻击者捕获该哈希后,可在网络上以受感染用户身份进行认证
安全专家警告称,此漏洞极易被用于社会工程攻击。攻击者可能发送看似合法的网页,要求用户裁剪企业壁纸或编辑工牌照片。当截图工具在用户屏幕上正常打开时,请求看似无害,但NTLM认证过程已在后台悄然完成。
虽然成功利用会导致机密性受损,但攻击者无法借此篡改数据(完整性)或导致系统崩溃(可用性)。微软指出,目前漏洞利用代码成熟度尚未得到验证,实际利用可能性"较低",尚未发现野外利用报告。
受影响系统与缓解措施
GitHub上披露的漏洞详情显示,该漏洞影响广泛的微软操作系统,包括多个版本的Windows 10、Windows 11以及2012至2025年间发布的Windows Server。
针对CVE-2026-33829的防护建议:
立即应用微软2026年4月14日发布的官方安全补丁
在网络边界阻止出站SMB流量(端口445),防止NTLM哈希与外部服务器通信
对员工开展安全意识培训,警示点击未知链接和随意批准浏览器应用启动提示的风险
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴