Обрезали картинку — лишились пароля. «Ножницы» в Windows оказались не такими уж безобидными
NewsMakerПоказываем, насколько просто стать жертвой взлома при выполнении рутинных задач.
Во встроенном в Windows инструменте Snipping Tool ( Ножницы ) обнаружили уязвимость, которая превращает обычный переход по ссылке в незаметную утечку учётных данных. Сценарий атаки выглядит буднично: открывается знакомый системный инструмент, на экране не происходит ничего подозрительного, а в фоновом режиме злоумышленник уже получает данные для дальнейшей атаки.
Речь идёт об уязвимости CVE-2026-33829 . Проблема связана с обработкой deep link через схему ms-screensketch. В уязвимых версиях Snipping Tool параметр filePath принимает путь без должной проверки, из-за чего атакующий может подставить UNC-адрес, ведущий на подконтрольный SMB-сервер. После такого обращения Windows автоматически отправляет Net-NTLM-ответ, который можно использовать для подбора пароля вне сети или в атаках с ретрансляцией NTLM внутри корпоративной инфраструктуры.
Уязвимость обнаружили специалисты Black Arrow и согласовали раскрытие с Microsoft до публикации деталей. Позднее команда выложила демонстрационный код, который показывает, насколько простым может быть запуск атаки. Достаточно разместить вредоносную страницу или ссылку, а затем убедить жертву перейти по ней. После открытия Snipping Tool пытается загрузить удалённый файл по SMB и тем самым раскрывает хэш аутентификации.
Опасность CVE-2026-33829 усиливает правдоподобный сценарий обмана. Snipping Tool действительно запускается, поэтому ссылка легко маскируется под просьбу обрезать корпоративные обои, проверить фото для пропуска или открыть якобы внутренний документ. На стороне жертвы всё выглядит естественно, тогда как передача данных проходит незаметно.
Microsoft закрыла брешь в апрельском Patch Tuesday, выпущенном 14 апреля 2026 года. По данным авторов отчёта, сообщение об уязвимости компания получила 23 марта, а в день выхода исправления состоялись публичное раскрытие и публикация PoC-кода.
Пользователям и организациям рекомендуют как можно быстрее установить апрельское обновление безопасности. Дополнительно ИБ-командам советуют отслеживать неожиданные исходящие SMB-соединения на порт 445 и по возможности блокировать такой трафик на сетевом периметре.
Во встроенном в Windows инструменте Snipping Tool ( Ножницы ) обнаружили уязвимость, которая превращает обычный переход по ссылке в незаметную утечку учётных данных. Сценарий атаки выглядит буднично: открывается знакомый системный инструмент, на экране не происходит ничего подозрительного, а в фоновом режиме злоумышленник уже получает данные для дальнейшей атаки.
Речь идёт об уязвимости CVE-2026-33829 . Проблема связана с обработкой deep link через схему ms-screensketch. В уязвимых версиях Snipping Tool параметр filePath принимает путь без должной проверки, из-за чего атакующий может подставить UNC-адрес, ведущий на подконтрольный SMB-сервер. После такого обращения Windows автоматически отправляет Net-NTLM-ответ, который можно использовать для подбора пароля вне сети или в атаках с ретрансляцией NTLM внутри корпоративной инфраструктуры.
Уязвимость обнаружили специалисты Black Arrow и согласовали раскрытие с Microsoft до публикации деталей. Позднее команда выложила демонстрационный код, который показывает, насколько простым может быть запуск атаки. Достаточно разместить вредоносную страницу или ссылку, а затем убедить жертву перейти по ней. После открытия Snipping Tool пытается загрузить удалённый файл по SMB и тем самым раскрывает хэш аутентификации.
Опасность CVE-2026-33829 усиливает правдоподобный сценарий обмана. Snipping Tool действительно запускается, поэтому ссылка легко маскируется под просьбу обрезать корпоративные обои, проверить фото для пропуска или открыть якобы внутренний документ. На стороне жертвы всё выглядит естественно, тогда как передача данных проходит незаметно.
Microsoft закрыла брешь в апрельском Patch Tuesday, выпущенном 14 апреля 2026 года. По данным авторов отчёта, сообщение об уязвимости компания получила 23 марта, а в день выхода исправления состоялись публичное раскрытие и публикация PoC-кода.
Пользователям и организациям рекомендуют как можно быстрее установить апрельское обновление безопасности. Дополнительно ИБ-командам советуют отслеживать неожиданные исходящие SMB-соединения на порт 445 и по возможности блокировать такой трафик на сетевом периметре.