Windows Ekran Alıntısı Aracı Güvenlik Açığı, Saldırganın Bir Ağ Üzerinden Sahtecilik Yapmasına İzin Verir

Microsoft, Windows Snipping Aracı'nda kötü niyetli aktörlerin kullanıcı kimlik bilgilerini çalmasına izin verebilecek orta şiddette bir güvenlik açığını ele aldı. CVE -2026 -33829 olarak izlenen bu sahtekarlık güvenlik açığı, 14 Nisan 2026 güvenlik güncellemeleri sırasında resmi olarak düzeltildi. Blackarrow'daki (Tarlogic) güvenlik araştırmacıları tarafından keşfedilen ve bildirilen kusur, Windows ortamlarında uygulama URL işleyicileri ile ilgili devam eden riskleri vurgulamaktadır. CVE -2026 -33829, CVSS 3.1 puanı 4.3 'tür ve hassas bilgilerin yetkisiz aktörlere maruz kalması olarak sınıflandırılır (CWE -200). Güvenlik açığı, Windows Ekran Alıntısı Aracı'nın derin bağlantıları nasıl işlediğiyle ilgilidir. Özellikle, uygulama ms – screensketch URI şemasını düzgün bir şekilde işlerken girdiyi doğrulayamamaktadır. Microsoft ve Blackarrow tarafından sağlanan güvenlik açığı açıklamasına göre, bir saldırgan, kimliği doğrulanmış bir Sunucu Mesaj Bloğu (SMB) bağlantısını uzak, saldırgan tarafından kontrol edilen bir sunucuya zorlamak için bu zayıflıktan yararlanabilir. Sahte Kusur, Kırpma Aletini Açığa Çıkarır

Kötüye kullanım kullanıcı etkileşimi gerektirirken, saldırı karmaşıklığı düşük olarak kabul edilir. Saldırı zinciri, yayınlanan kavram kanıtına göre şu şekilde çalışır:

Kötü Amaçlı Bağlantı Oluşturma: Saldırganlar, ms – screensketch: edit parametresini kullanarak belirli bir web bağlantısı oluşturur. Aldatıcı Yönlendirme: Bağlantı, filePath parametresini kötü amaçlı bir harici SMB sunucusuna yönlendirir. Kullanıcı Etkileşimi: Saldırgan, kurbanı bir kimlik avı e – postasındaki veya güvenliği ihlal edilmiş bir web sitesindeki bir bağlantıya tıklaması için kandırır ve kullanıcıdan Snipping Tool programını başlatmayı onaylamasını ister. Hash Hırsızlığı: Onaylandıktan sonra, Snipping Aracı sahte dosyayı almak için uzak sunucuya bağlanır ve kullanıcının NTLMv2 şifre karmasını arka planda sessizce sızdırır. Yetkisiz Erişim: Saldırgan bu karmayı yakalar ve ağda güvenliği ihlal edilmiş kullanıcı olarak kimlik doğrulamak için kullanabilir.