江蘇
關(guān)鍵詞
漏洞
微軟已修復(fù)Windows截圖工具中一個中危安全漏洞,該漏洞可能被惡意攻擊者利用來竊取用戶憑證。編號為CVE-2026-33829的欺騙漏洞已在2026年4月14日的安全更新中獲得官方補(bǔ)丁。
該漏洞由Blackarrow(Tarlogic)安全研究人員發(fā)現(xiàn)并報告,凸顯了Windows環(huán)境中應(yīng)用程序URL處理程序持續(xù)存在的安全風(fēng)險。CVE-2026-33829的CVSS 3.1評分為4.3,被歸類為敏感信息向未授權(quán)方暴露(CWE-200)。
漏洞技術(shù)原理
漏洞存在于Windows截圖工具處理深層鏈接的方式中。具體而言,該應(yīng)用程序在處理ms-screensketchURI方案時未能正確驗(yàn)證輸入。根據(jù)微軟和Blackarrow提供的漏洞披露信息,攻擊者可利用此弱點(diǎn)強(qiáng)制建立經(jīng)過身份驗(yàn)證的服務(wù)器消息塊(SMB)連接到攻擊者控制的遠(yuǎn)程服務(wù)器。
攻擊鏈運(yùn)作機(jī)制
雖然漏洞利用需要用戶交互,但攻擊復(fù)雜度被評估為較低。根據(jù)已公開的PoC,攻擊鏈運(yùn)作方式如下:
- 惡意鏈接構(gòu)造
:攻擊者使用
ms-screensketch: edit參數(shù)制作特定網(wǎng)頁鏈接 - 欺騙性路由
:鏈接將filePath參數(shù)指向惡意外部SMB服務(wù)器
- 用戶交互
:攻擊者誘騙受害者點(diǎn)擊釣魚郵件或遭入侵網(wǎng)站中的鏈接,促使用戶確認(rèn)啟動截圖工具程序
- 憑證竊取
:用戶批準(zhǔn)后,截圖工具會連接遠(yuǎn)程服務(wù)器獲取偽造文件,同時在后臺靜默泄露用戶的NTLMv2密碼哈希
- 未授權(quán)訪問
:攻擊者捕獲該哈希后,可在網(wǎng)絡(luò)上以受感染用戶身份進(jìn)行認(rèn)證
安全專家警告稱,此漏洞極易被用于社會工程攻擊。攻擊者可能發(fā)送看似合法的網(wǎng)頁,要求用戶裁剪企業(yè)壁紙或編輯工牌照片。當(dāng)截圖工具在用戶屏幕上正常打開時,請求看似無害,但NTLM認(rèn)證過程已在后臺悄然完成。
雖然成功利用會導(dǎo)致機(jī)密性受損,但攻擊者無法借此篡改數(shù)據(jù)(完整性)或?qū)е孪到y(tǒng)崩潰(可用性)。微軟指出,目前漏洞利用代碼成熟度尚未得到驗(yàn)證,實(shí)際利用可能性"較低",尚未發(fā)現(xiàn)野外利用報告。
受影響系統(tǒng)與緩解措施
GitHub上披露的漏洞詳情顯示,該漏洞影響廣泛的微軟操作系統(tǒng),包括多個版本的Windows 10、Windows 11以及2012至2025年間發(fā)布的Windows Server。
針對CVE-2026-33829的防護(hù)建議:
立即應(yīng)用微軟2026年4月14日發(fā)布的官方安全補(bǔ)丁
在網(wǎng)絡(luò)邊界阻止出站SMB流量(端口445),防止NTLM哈希與外部服務(wù)器通信
對員工開展安全意識培訓(xùn),警示點(diǎn)擊未知鏈接和隨意批準(zhǔn)瀏覽器應(yīng)用啟動提示的風(fēng)險
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時資訊一手掌握!
好看你就分享 有用就點(diǎn)個贊
支持「安全圈」就點(diǎn)個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
