Cảnh báo Lỗ hổng CVE Nguy hiểm trong Windows Snipping Tool

17/04/2026
4 mins read
Cảnh báo Lỗ hổng CVE Nguy hiểm trong Windows Snipping Tool

Gần đây, Microsoft đã xử lý một lỗ hổng CVE bảo mật mức độ nghiêm trọng trung bình trong công cụ Windows Snipping Tool. Lỗ hổng này có thể cho phép các tác nhân độc hại đánh cắp thông tin xác thực của người dùng.

Lỗ hổng CVE-2026-33829, được theo dõi như một lỗ hổng giả mạo (spoofing vulnerability), đã chính thức được vá trong bản cập nhật bảo mật ngày 14 tháng 4 năm 2026. Phát hiện này do các nhà nghiên cứu bảo mật tại Blackarrow (Tarlogic) thực hiện và báo cáo.

Sự cố này một lần nữa nhấn mạnh những rủi ro bảo mật hiện hữu liên quan đến các trình xử lý URL của ứng dụng trong môi trường Windows.

Nội dung
Phân tích kỹ thuật Lỗ hổng CVE-2026-33829
Cơ chế khai thác và chuỗi tấn công
Tác động và Phạm vi ảnh hưởng
Chiến lược giảm thiểu và Cập nhật bản vá

Phân tích kỹ thuật Lỗ hổng CVE-2026-33829

CVE-2026-33829 được gán điểm CVSS 3.14.3. Đây là một lỗ hổng được phân loại là CWE-200, tức là việc để lộ thông tin nhạy cảm cho các tác nhân trái phép.

Điểm CVSS 4.3 cho thấy mức độ nghiêm trọng trung bình, với các yếu tố cơ bản như sau:

  • Attack Vector (AV): Network (N) – Kẻ tấn công có thể khai thác qua mạng.
  • Attack Complexity (AC): Low (L) – Khai thác tương đối đơn giản.
  • Privileges Required (PR): None (N) – Kẻ tấn công không cần quyền đặc biệt.
  • User Interaction (UI): Required (R) – Cần có sự tương tác của người dùng để kích hoạt lỗ hổng.
  • Scope (S): Unchanged (U) – Lỗ hổng không cho phép kẻ tấn công vượt ra ngoài phạm vi quyền hạn của ứng dụng.
  • Confidentiality Impact (C): Low (L) – Lộ thông tin nhạy cảm.
  • Integrity Impact (I): None (N) – Không ảnh hưởng đến tính toàn vẹn dữ liệu.
  • Availability Impact (A): None (N) – Không ảnh hưởng đến tính khả dụng của hệ thống.

Cụ thể, lỗ hổng nằm ở cách Windows Snipping Tool xử lý các liên kết sâu (deep links). Ứng dụng này không xác thực đầu vào đúng cách khi xử lý lược đồ URI ms-screensketch.

Cơ chế khai thác và chuỗi tấn công

Theo tiết lộ về lỗ hổng từ Microsoft và Blackarrow, một kẻ tấn công có thể khai thác điểm yếu này để buộc một kết nối Server Message Block (SMB) đã xác thực tới một máy chủ từ xa do kẻ tấn công kiểm soát.

Mặc dù việc khai thác đòi hỏi sự tương tác của người dùng, nhưng độ phức tạp của cuộc tấn công mạng này được coi là thấp. Chuỗi tấn công diễn ra dựa trên bằng chứng khai thác (proof-of-concept) đã được công bố như sau:

  1. Kẻ tấn công tạo một trang web hoặc một tài liệu chứa liên kết độc hại được thiết kế đặc biệt.
  2. Liên kết này sử dụng lược đồ URI ms-screensketch để gọi Windows Snipping Tool với các tham số đã được sửa đổi.
  3. Khi người dùng nhấp vào liên kết (ví dụ: trong một chiến dịch social engineering), Snipping Tool sẽ khởi chạy.
  4. Do lỗ hổng xác thực đầu vào, Snipping Tool được hướng dẫn thực hiện kết nối SMB đến một máy chủ SMB độc hại do kẻ tấn công kiểm soát.
  5. Trong quá trình kết nối SMB này, cơ chế xác thực NTLM (NT LAN Manager) của Windows được kích hoạt một cách vô hình.
  6. Hệ điều hành gửi băm NTLM (NTLM hash) của người dùng hiện tại đến máy chủ độc hại mà người dùng không hề hay biết.
  7. Kẻ tấn công sau đó có thể cố gắng bẻ khóa băm NTLM này (thông qua các cuộc tấn công brute-force hoặc dictionary) để lấy được mật khẩu thuần (plaintext password) hoặc sử dụng các kỹ thuật chuyển tiếp NTLM (NTLM relay) để thực hiện các cuộc tấn công khác.

Các chuyên gia bảo mật cảnh báo rằng lỗ hổng CVE này có khả năng thích ứng cao cho các chiến dịch kỹ thuật xã hội (social engineering). Ví dụ, kẻ tấn công có thể gửi một trang web trông hợp pháp yêu cầu người dùng cắt một hình nền công ty hoặc chỉnh sửa ảnh thẻ.

Trong khi Snipping Tool mở bình thường trên màn hình người dùng, làm cho yêu cầu dường như vô hại, quá trình xác thực NTLM xảy ra một cách vô hình ở nền.

Tác động và Phạm vi ảnh hưởng

Mặc dù việc khai thác thành công dẫn đến mất mát về tính bảo mật (confidentiality), lỗ hổng này không cho phép kẻ tấn công thay đổi dữ liệu (Integrity) hoặc làm sập hệ thống (Availability). Điều này phù hợp với điểm số CVSS đã được phân tích.

Microsoft lưu ý rằng mức độ trưởng thành của mã khai thác hiện tại vẫn chưa được chứng minh (MSRC) và khả năng khai thác thực tế vẫn được đánh giá là “Không chắc chắn”. Hiện tại, không có báo cáo nào về việc lỗ hổng này bị khai thác trong thực tế.

Tuy nhiên, thông tin chi tiết về lỗ hổng CVE này đã được công bố trên GitHub (Blackarrow Research), cho thấy phạm vi ảnh hưởng rộng. Các hệ điều hành Microsoft bị ảnh hưởng bao gồm:

  • Nhiều phiên bản của Windows 10
  • Nhiều phiên bản của Windows 11
  • Các phiên bản Windows Server từ 2012 đến 2025

Chiến lược giảm thiểu và Cập nhật bản vá

Để bảo vệ mạng lưới khỏi lỗ hổng CVE-2026-33829, các tổ chức nên thực hiện các chiến lược giảm thiểu sau đây:

  • Áp dụng các bản vá bảo mật: Đây là biện pháp quan trọng nhất. Hãy đảm bảo tất cả các hệ thống Windows bị ảnh hưởng đều được cài đặt bản cập nhật bảo mật ngày 14 tháng 4 năm 2026 và các bản vá sau đó. Việc thường xuyên cập nhật bản vá là chìa khóa để duy trì an ninh.
  • Đào tạo nhận thức về an ninh mạng: Thực hiện các khóa đào tạo định kỳ cho người dùng về các mối đe dọa kỹ thuật xã hội và cách nhận biết các liên kết hoặc yêu cầu đáng ngờ.
  • Giới hạn lưu lượng SMB ra ngoài Internet: Triển khai các chính sách tường lửa để hạn chế hoặc chặn các kết nối SMB từ mạng nội bộ ra Internet, đặc biệt là tới các máy chủ không xác định.
  • Bật tính năng chặn NTLM Relay: Triển khai các biện pháp bảo vệ chống lại các cuộc tấn công NTLM relay, bao gồm việc sử dụng Extended Protection for Authentication (EPA) hoặc các cài đặt Group Policy để hạn chế việc sử dụng NTLM.
  • Giám sát mạng: Tăng cường giám sát lưu lượng mạng để phát hiện các kết nối SMB bất thường hoặc các hoạt động liên quan đến lược đồ URI ms-screensketch.

Việc chủ động trong an ninh mạng và quản lý bản vá sẽ giúp giảm thiểu rủi ro bảo mật từ các lỗ hổng CVE tương tự.