PoC-Exploit für die NTLM-Hash-Leak-Schwachstelle im Windows Snipping Tool veröffentlicht

Aufgrund eines Mangels an ordnungsgemäßer Eingabevalidierung kann ein Angreifer einen UNC-Pfad angeben, der auf einen entfernten, vom Angreifer kontrollierten SMB-Server zeigt, wodurch eine authentifizierte SMB-Verbindung erzwungen und im Zuge dessen der Net-NTLM-Hash des Opfers erfasst wird.

Die Schwachstelle wurde entdeckt und gemeldet, die die Offenlegung mit Microsoft koordinierten, bevor sie öffentlich wurde. Windows Snipping Tool PoC Die Ausnutzung erfordert minimale technische Raffinesse.

Ein Angreifer muss lediglich eine bösartige URL oder eine HTML-Seite hosten, die den Deep Link automatisch auslöst, und das Ziel dazu verleiten, diese zu besuchen.

Der PoC demonstriert den Angriff mit einer einzigen durch den Browser ausgelösten URI: text ms-screensketch:edit?&filePath=\\ \file.png&isTemporary=false&saved=true&source=Toast Wenn ein Opfer diesen Link öffnet, startet das Snipping Tool und versucht im Hintergrund, die entfernte Ressource über SMB zu laden.

Während diesem Verbindungsversuch sendet Windows automatisch die Net-NTLM-Authentifizierungsantwort des Benutzers an den Server des Angreifers, wodurch Anmeldeinformationen offengelegt werden, die anschließend offline geknackt oder bei NTLM-Relay-Angriffen gegen interne Netzwerkressourcen verwendet werden können.