文章总结： 微软已修复Windows截图工具中一个中等严重程度的欺骗漏洞CVE-2026-33829，该漏洞存在于ms-screensketchURI处理程序中，攻击者可构造恶意链接诱骗用户点击，从而窃取用户NTLMv2密码哈希。攻击复杂度较低但需用户交互，微软已于2026年4月14日发布安全补丁，建议组织立即应用补丁、阻止出站SMB流量并加强员工安全意识教育。 综合评分： 87 文章分类： 漏洞分析,漏洞预警,网络安全,终端安全,应急响应

Windows截图工具漏洞允许攻击者通过网络执行欺骗操作

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月17日 19:10 北京

在小说阅读器读本章

去阅读

微软已修复 Windows 截图工具中一个中等严重程度的安全漏洞，该漏洞可能允许恶意行为者窃取用户凭据。

该欺骗漏洞编号为 CVE-2026-33829，已于 2026 年 4 月 14 日的安全更新中正式修复。

该漏洞由 Blackarrow（Tarlogic）的安全研究人员发现并报告，凸显了Windows 环境中应用程序 URL 处理程序持续存在的风险。

CVE-2026-33829 的 CVSS 3.1 评分为 4.3，被归类为向未经授权的参与者暴露敏感信息 (CWE-200)。

该漏洞存在于 Windows 截图工具处理深度链接的方式中。具体来说，该应用程序在 ms-screensketch 正确处理 URI 架构时未能验证输入。

根据微软和 Blackarrow 提供的漏洞披露信息，攻击者可以利用此弱点强制建立经过身份验证的服务器消息块 (SMB) 连接，连接到远程的、攻击者控制的服务器。

欺骗漏洞暴露了截图工具

虽然该漏洞利用需要用户交互，但攻击复杂度较低。以下是基于已发布的概念验证的攻击链运作方式：

• 恶意链接创建：攻击者使用该参数构造特定的网页链接 ms-screensketch: edit 。
• 欺骗性路由：该链接将 filePath 参数指向恶意外部 SMB 服务器。
• 用户交互：攻击者诱骗受害者点击钓鱼邮件或被入侵网站上的链接，提示用户确认启动截图工具程序。
• 哈希窃取：一旦获得批准，截图工具就会连接到远程服务器以获取伪造文件，在后台悄悄泄露用户的 NTLMv2 密码哈希值。
• 未经授权的访问：攻击者捕获此哈希值，并可利用它在网络上以被入侵用户的身份进行身份验证。

安全专家警告称，这种漏洞极易被用于社交工程攻击。攻击者可以发送看似合法的网页，诱骗用户裁剪公司壁纸或编辑工牌照片。

虽然截图工具会在用户的屏幕上正常打开，使请求看起来无害，但NTLM 身份验证却是在不可见的情况下进行的。

虽然成功利用漏洞会导致机密性丧失，但攻击者无法更改数据（完整性）或使系统崩溃（可用性）。

微软指出，该漏洞利用代码的成熟度目前尚未得到证实，实际利用的可能性仍然“很低”。目前尚无任何关于该漏洞被实际利用的报告。

受影响的系统

该漏洞的详细信息已发布在 GitHub 上，它会影响各种 Microsoft 操作系统，包括 2012 年至 2025 年的多个版本的 Windows 10、Windows 11 和 Windows Server。

为保护网络免受 CVE-2026-33829 的攻击，组织应实施以下缓解策略：

• 立即应用微软于 2026 年 4 月 14 日发布的官方安全补丁。
• 在网络边界阻止出站 SMB 流量（端口 445），以防止 NTLM 哈希与外部服务器通信。
• 教育员工了解点击未知链接和不加质疑地批准网络浏览器应用程序启动提示的危险性。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Windows截图工具漏洞允许攻击者通过网络执行欺骗操作》