Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
È stata scoperta una vulnerabilità nello Strumento di cattura di Windows, la quale consente di rubare credenziali. La vulnerabilità CVE-2026-33829 può essere sfruttata con un semplice clic su un link predisposto. Microsoft ha rilasciato una patch di sicurezza per correggere il problema
È stata scoperta una vulnerabilità nel sistema di cattura di Windows, che può trasformare un semplice clic su un collegamento in una fuga silenziosa di credenziali. Questa vulnerabilità sembra essere molto pericolosa, poiché non ci sono segnali di allarme quando si apre lo strumento di cattura. Il problema è che, in background, l’attaccante può già avere accesso ai dati della vittima.
La vulnerabilità in questione ha un codice specifico, ovvero il CVE-2026-33829.
Il problema riguarda la gestione dei collegamenti tramite lo schemams-screensketch. Nelle versioni vulnerabili dello strumento di cattura, il parametro filePath non viene controllato adeguatamente, il che consente a un utente malintenzionato di sostituirlo con un indirizzo UNC che punta a un server SMB.
Dopo un accesso di questo tipo, Windows invia automaticamente una risposta Net-NTLM, che può essere utilizzata per forzare le password offline o in attacchi di relay NTLM all’interno dell’infrastruttura aziendale.
I ricercatori di Black Arrow hanno scoperto questa vulnerabilità e hanno lavorato con Microsoft per risolverla prima di pubblicare i dettagli. Il team ha poi rilasciato un codice dimostrativo chemostra quanto sia facile sferrare l’attacco.
Basta ospitare una pagina o un link dannoso e convincere la vittima a cliccarci sopra. Una volta aperto, lo strumento di cattura tenta di scaricare il file remoto tramite SMB, rivelando così l’hash di autenticazione.
Lo strumento di cattura si avvia effettivamente, quindi il link può essere facilmente mascherato da una richiesta di ritagliare lo sfondo aziendale, verificare una foto per un badge di sicurezza o aprire un documento presumibilmente interno. Dal punto di vista della vittima, tutto sembra legittimo, mentre il trasferimento dei dati è impercettibile.
Microsoft ha corretto la vulnerabilità con l’aggiornamento di sicurezza di aprile, rilasciato il 14 aprile 2026. Secondo gli autori del rapporto, l’azienda ha ricevuto una segnalazione della vulnerabilità il 23 marzo e la divulgazione pubblica e la pubblicazione del codice di prova sono avvenute il giorno stesso del rilascio della patch.
Si consiglia agli utenti e alle organizzazioni di installare l’aggiornamento di sicurezza di aprile il prima possibile.
Inoltre, si raccomanda ai team di sicurezza di monitorare eventuali connessioni SMB in uscita anomale sulla porta 445 e, se possibile, di bloccare tale traffico al perimetro della rete. Questo può aiutare a prevenire attacchi di questo tipo e proteggere i dati sensibili. È importante rimanere vigili e aggiornati sulle ultime vulnerabilità e minacce per garantire la sicurezza dei sistemi e dei dati.
