漏洞利用原理

问题就出在输入验证环节。攻击者可以精心构造一个指向其控制的远程SMB服务器的UNC路径。一旦这个路径被触发，系统就会强制发起一个经过身份验证的SMB连接。你猜怎么着？就在这个看似平常的连接尝试过程中，受害者的Net-NTLM哈希凭证就被悄无声息地捕获了。这个漏洞由Black Arrow安全团队发现并报告，他们在公开前遵循了负责任的披露流程，与微软进行了充分协调。

Windows截图工具PoC详解

说实话，利用这个漏洞的技术门槛低得惊人。攻击者只需要托管一个恶意的URL，或者一个能自动触发深度链接的HTML页面，然后想办法让目标用户点进去就行了。Black Arrow Security提供的概念验证代码，就清晰地演示了如何通过浏览器触发一个简单的URI来完成攻击：

当受害者点击或打开这个链接时，截图工具会正常启动。但关键在于，它会默默尝试通过SMB协议去加载那个远程资源。就在这个连接建立的瞬间，Windows系统会自动将用户的Net-NTLM认证响应发送到攻击者的服务器上。这些暴露的凭证哈希，后续可以被用于离线暴力破解，或者作为跳板，发起针对内部网络资源的NTLM中继攻击。

CVE-2026-33829的特别危险之处，在于它与社会工程学简直是“天作之合”。整个利用过程中，截图工具确实会如常打开，这使得攻击在视觉上毫无破绽，完全可以嵌入到各种可信的借口里。比如，要求员工裁剪一下最新的企业壁纸、编辑工牌照片，或者查看HR部门发来的文档。攻击者甚至可以注册一个像 snip.example.com 这样具有迷惑性的域名，提供一个看起来完全正常的图片链接，却在后台静默传递恶意的深度链接载荷。对受害者而言，整个过程毫无异常——截图工具打开了，而NTLM认证则在后台“透明”地完成了。

补丁发布与时间线

好消息是，微软已经在2026年4月14日的“补丁星期二”安全更新中修复了这个漏洞。整个披露和修复的时间线非常清晰：

2026年3月23日——漏洞被报告给微软安全响应中心。
2026年4月14日——微软发布包含修复程序的安全更新。
2026年4月14日——协调发布公开安全公告及相关概念验证细节。

对于仍在运行受影响版本Windows截图工具的企业和个人用户来说，当务之急是立即安装2026年4月14日发布的安全更新。此外，企业的安全团队有必要加强监控，留意内部网络是否存在指向外部或未知主机的异常出站SMB连接（通常使用端口445），这可能是正在进行的攻击尝试迹象。话说回来，无论补丁安装情况如何，在网络边界严格阻止出站的SMB流量，始终是一项行之有效的深度防御措施。