文章总结： 网络安全研究人员公开了针对微软截图工具NTLM哈希泄露漏洞（CVE-2026-33829）的概念验证（PoC）利用代码。该漏洞源于程序处理ms-screensketch协议深度链接时存在缺陷，攻击者可构造恶意URI诱使截图工具访问攻击者控制的SMB服务器，从而静默窃取用户Net-NTLM凭证哈希。微软已于2026年4月14日发布补丁修复，建议用户立即安装更新，并监控异常出站SMB连接以防范潜在攻击。 综合评分： 78 文章分类： 漏洞分析,漏洞poc,内网渗透,社会工程学,终端安全

CVE-2026-33829的特别危险之处在于其天然适合社会工程攻击。由于截图工具在利用过程中确实会打开，攻击在视觉上与可信借口完全吻合，例如要求员工裁剪企业壁纸、编辑工牌照片或查看HR文档。攻击者可注册类似snip.example.com的域名，提供看似正常的图片URL，在后台静默传递恶意深度链接有效载荷。受害者不会察觉任何异常——截图工具如预期般打开，而NTLM认证在后台透明进行。

补丁发布与时间线

微软已在2026年4月14日的补丁星期二安全更新中修复该漏洞。披露时间线如下：

• 2026年3月23日——漏洞报告至微软
• 2026年4月14日——微软发布安全补丁
• 2026年4月14日——协调发布公开公告及PoC

运行受影响版本Windows截图工具的企业及个人用户应立即安装2026年4月14日的安全更新。安全团队还应监控内部网络中是否存在指向外部或未知主机的异常出站SMB连接（端口445），这可能是活跃攻击尝试的迹象。无论补丁状态如何，在网络边界阻止出站SMB流量仍是有效的防御措施。

参考来源：

PoC Exploit Released for Windows Snipping Tool NTLM Hash Leak Vulnerability

文章来源：freebuf

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 《Windows 截图工具NTLM哈希泄露漏洞PoC利用代码公开》