Um proof-of-concept (PoC) de exploração foi lançado publicamente para uma vulnerabilidade recém-divulgada na ferramenta de captura de tela do Microsoft que permite que atacantes roubem silenciosamente os hashes de credenciais Net-NTLM dos usuários, induzindo-os a visitar uma página web maliciosa. Rastreada como CVE-2026-33829, a falha reside na forma como a ferramenta Windows Snipping Tool lida com registros de URI de link profundo usando o esquema de protocolo ms-screensketch.
Técnica de Exploração e Mecanismo
Versões afetadas do aplicativo registram esse link profundo, que aceita um parâmetro filePath. Devido à falta de validação adequada de entrada, um atacante pode fornecer um caminho UNC apontando para um servidor SMB remoto controlado pelo atacante, coercendo uma conexão SMB autenticada e capturando o hash Net-NTLM da vítima no processo.
A exploração requer sofisticação técnica mínima. Um atacante simplesmente precisa hospedar uma URL maliciosa ou uma página HTML que acione automaticamente o link profundo e convencer o alvo a visitá-la. O PoC da Black Arrow Security demonstra o ataque com um único URI acionado pelo navegador: ms-screensketch:edit?&filePath=\\
Quando uma vítima abre esse link, a ferramenta Snipping Tool é iniciada e tenta silenciosamente carregar o recurso remoto via SMB. Durante essa tentativa de conexão, o Windows transmite automaticamente a resposta de autenticação Net-NTLM do usuário para o servidor do atacante, expondo credenciais que podem ser quebradas offline ou usadas em ataques de relay NTLM contra recursos de rede interna.
Engenharia Social e Contexto
O que torna a CVE-2026-33829 particularmente perigosa é como ela se presta naturalmente a campanhas de engenharia social. Como a ferramenta Snipping Tool realmente é aberta durante a exploração, o ataque é visualmente consistente com pretextos credíveis, como pedir a um funcionário para recortar um papel de parede corporativo, editar uma foto de crachá ou revisar um documento de RH.
Um atacante poderia registrar um domínio como snip.example.com e servir uma URL de imagem convincente que silenciosamente entrega a carga útil de link profundo malicioso nos bastidores. A vítima não vê nada de incomum; a ferramenta Snipping Tool abre como esperado enquanto a autenticação NTLM ocorre transparentemente ao fundo.
Esse vetor de ataque é especialmente eficaz em ambientes corporativos onde e-mails de phishing referenciando portais internos de RH, helpdesks de TI ou sistemas de documentos compartilhados são comuns. A confiança em ferramentas nativas do Windows facilita a execução do ataque sem levantar suspeitas imediatas.
Linha do Tempo do Patch e Disponibilidade
A Microsoft abordou a vulnerabilidade em sua atualização de segurança de Patch Tuesday de 14 de abril de 2026. A linha do tempo de divulgação é a seguinte: 23 de março de 2026 — Vulnerabilidade relatada à Microsoft; 14 de abril de 2026 — Microsoft libera uma atualização de segurança; 14 de abril de 2026 — Aviso público coordenado e lançamento de PoC.
Organizações e usuários individuais executando versões afetadas da ferramenta Windows Snipping Tool devem aplicar imediatamente a atualização de segurança de 14 de abril de 2026. A falha foi descoberta e relatada por pesquisadores de segurança da Black Arrow, que coordenaram a divulgação com a Microsoft antes de ir ao público.
Medidas de Mitigação e Monitoramento
Equipes de segurança também devem monitorar redes internas em busca de conexões SMB externas inesperadas (porta 445) para hosts externos ou desconhecidos, o que pode indicar tentativas de exploração ativa. Bloquear o tráfego SMB de saída na perimeter da rede permanece como uma medida defensiva forte, independentemente do status do patch.
Além disso, a desabilitação de protocolos de link profundo não essenciais ou a restrição de acesso a servidores SMB externos pode reduzir a superfície de ataque. A educação dos usuários sobre os riscos de clicar em links suspeitos, mesmo que pareçam levar a ferramentas legítimas, é crucial para prevenir a exploração social.
Implicações para CISOs
Este incidente reforça a necessidade de monitoramento contínuo de tráfego de rede e aplicação rigorosa de patches. A exploração de vulnerabilidades em ferramentas nativas do Windows destaca a importância de segmentar redes e limitar a comunicação SMB de saída. CISOs devem priorizar a correção da CVE-2026-33829 e revisar políticas de segurança para mitigar riscos de relay NTLM.