新闻中心
——“因为我们的存在,让您的邮件系统更有价值!”
警惕!Windows截图工具漏洞可导致攻击者通过网络实施欺骗攻击
发布时间:2026-04-24 / 浏览次数:6次
该漏洞由Blackarrow(Tarlogic)安全研究人员发现并报告,凸显了Windows环境中应用程序URL处理程序持续存在的安全风险。CVE-2026-33829的CVSS 3.1评分为4.3,被归类为敏感信息向未授权方暴露(CWE-200)。
攻击链运作机制
虽然漏洞利用需要用户交互,但攻击复杂度被评估为较低。根据已公开的PoC,攻击链运作方式如下:
- 恶意链接构造:攻击者使用ms-screensketch: edit参数制作特定网页链接
- 欺骗性路由:链接将filePath参数指向恶意外部SMB服务器
- 用户交互:攻击者诱骗受害者点击钓鱼邮件或遭入侵网站中的链接,促使用户确认启动截图工具程序
- 凭证窃取:用户批准后,截图工具会连接远程服务器获取伪造文件,同时在后台静默泄露用户的NTLMv2密码哈希
- 未授权访问:攻击者捕获该哈希后,可在网络上以受感染用户身份进行认证
安全专家警告称,此漏洞极易被用于社会工程攻击。攻击者可能发送看似合法的网页,要求用户裁剪企业壁纸或编辑工牌照片。当截图工具在用户屏幕上正常打开时,请求看似无害,但NTLM认证过程已在后台悄然完成。
虽然成功利用会导致机密性受损,但攻击者无法借此篡改数据(完整性)或导致系统崩溃(可用性)。微软指出,目前漏洞利用代码成熟度尚未得到验证,实际利用可能性"较低",尚未发现野外利用报告。
受影响系统与缓解措施
GitHub上披露的漏洞详情显示,该漏洞影响广泛的微软操作系统,包括多个版本的Windows 10、Windows 11以及2012至2025年间发布的Windows Server。
针对CVE-2026-33829的防护建议:
-
立即应用微软2026年4月14日发布的官方安全补丁 -
在网络边界阻止出站SMB流量(端口445),防止NTLM哈希与外部服务器通信 -
对员工开展安全意识培训,警示点击未知链接和随意批准浏览器应用启动提示的风险
部分信息来源网络,如有侵权请联系删除
