文章总结： 微软Windows截图工具存在NTLM哈希泄露漏洞（CVE-2026-33829），攻击者可利用ms-screensketch协议处理filepath参数时的缺陷，通过恶意链接诱骗用户访问攻击者控制的SMB服务器，从而静默窃取Net-NTLM凭据哈希。该漏洞利用技术门槛低，易被用于社会工程攻击，微软已于2026年4月14日发布安全补丁，建议用户立即更新。 综合评分： 88 文章分类： 漏洞分析,漏洞预警,应用安全,终端安全,社会工程学

CVE-2026-33829 的危险之处在于它极易被用于社会工程攻击。由于截图工具会在漏洞利用过程中实际打开，因此攻击者可以利用一些看似可信的借口，例如要求员工裁剪公司壁纸、编辑工牌照片或查看人事文件，来达到攻击目的。

攻击者可以注册一个域名snip.example.com，并提供一个看似可信的图片 URL，该 URL 会在后台静默地传递恶意深度链接有效载荷。

受害者没有发现任何异常；截图工具如预期打开，NTLM 身份验证在后台透明地进行。

这种攻击手段在企业环境中尤其有效，因为在企业环境中，以内部人力资源门户、IT 服务台或共享文档系统为目标的网络钓鱼电子邮件很常见。

补丁可用性和时间表

微软在2026 年 4 月 14 日的“周二补丁日”安全更新中修复了该漏洞。漏洞披露时间线如下：

• 2026年3月23日——漏洞已报告给微软。
• 2026 年 4 月 14 日 — 微软发布安全补丁。
• 2026 年 4 月 14 日 — 协调发布公共咨询和 PoC。

运行受影响版本的 Windows 截图工具的组织和个人用户应立即应用 2026 年 4 月 14 日的安全更新。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Windows 截图工具 NTLM 哈希泄露漏洞的 PoC 漏洞利用程序已发布》