Se ha emitido una alerta técnica relacionada con una vulnerabilidad de severidad moderada (CVSS 4.3) pero de alto riesgo táctico en la herramienta de recortes nativa de Microsoft, Windows Snipping Tool. Rastreada como CVE-2026-33829, esta falla de suplantación (Spoofing) permite a actores de amenazas exfiltrar credenciales de red de manera silenciosa abusando de los esquemas de URI (Uniform Resource Identifier) parcheada en el reciente ciclo de actualizaciones de abril de 2026, la falla resalta los riesgos asociados a la validación deficiente de enlaces profundos (deep links) en aplicaciones de escritorio confiables.
Anatomía del Ataque
La vulnerabilidad reside en la forma en que Snipping Tool procesa parámetros externos sin la validación de entrada adecuada. El ataque requiere interacción del usuario, pero su complejidad es baja y se apoya fuertemente en ingeniería social:
- Creación del Enlace Malicioso: El atacante diseña un enlace web o acceso directo utilizando el esquema URI nativo de la aplicación: ms-screensketch: edit.
- Redirección de Ruta (SMB): Dentro del enlace, el atacante manipula el parámetro filePath, apuntándolo hacia una ruta UNC que corresponde a un servidor externo (Server Message Block – SMB) bajo su control.
- El Engaño (Ingeniería Social): Se envía el enlace a la víctima a través de un correo de phishing o se incrusta en una intranet/sitio web comprometido. El atacante puede disfrazar la acción como una solicitud legítima, como “recortar el nuevo fondo de pantalla corporativo” o “editar la foto del gafete”.
- Ejecución y Robo (Hash Theft): Al hacer clic, el navegador solicita permiso para abrir la aplicación. Dado que Snipping Tool es un binario legítimo del sistema, el usuario suele aceptar sin sospechar. La herramienta se abre normalmente en pantalla, pero en segundo plano y de forma invisible, intenta obtener el archivo remoto, iniciando una conexión SMB forzada.
- Exfiltración NTLMv2: Durante el intento de conexión, el sistema operativo envía automáticamente el hash de la contraseña NTLMv2 del usuario al servidor del atacante como parte del protocolo de negociación de Windows.
Impacto
Aunque esta vulnerabilidad no otorga Ejecución Remota de Código (RCE) ni compromete la integridad o disponibilidad del sistema, el impacto en la confidencialidad es crítico para entornos corporativos basados en Active Directory:
- Robo de Identidad y Acceso: Al capturar el hash NTLMv2, los atacantes pueden utilizar técnicas de Pass-the-Hash o forzar el hash (cracking fuera de línea) para obtener la contraseña en texto plano, logrando autenticarse en la red corporativa bajo la identidad del usuario comprometido.
- Superficie Afectada: La falla es generalizada, afectando a múltiples versiones de Windows 10, Windows 11 y ecosistemas de Windows Server desde 2012 hasta 2025.
Recomendaciones y Mitigación
Dado el bajo nivel de complejidad para la creación de estas campañas de ingeniería social, los equipos de seguridad deben implementar las siguientes barreras:
- Bloqueo Perimetral de SMB (Prioridad Alta): Como medida estructural esencial, el firewall perimetral de la organización debe bloquear todo el tráfico saliente hacia Internet a través del puerto 445 (TCP/UDP). Esto impide que cualquier ataque de “fuga de NTLM”, independientemente de la aplicación explotada, logre enviar los hashes a servidores externos.
- Actualización de Sistemas: Aplicar de inmediato los parches de seguridad oficiales de Microsoft liberados durante el Patch Tuesday del 14 de abril de 2026 en todo el parque de estaciones de trabajo y servidores afectados.
- Concienciación de Usuarios: Alertar al personal sobre los riesgos de aceptar advertencias emergentes (pop-ups) de los navegadores web que solicitan abrir aplicaciones del sistema de manera inesperada, incluso si se trata de programas conocidos como la herramienta de recortes, la calculadora o el calendario.
