ثغرة في أداة القص بويندوز تتيح انتحال هوية المستخدمين

عالجت شركة مايكروسوفت ثغرة أمنية متوسطة الخطورة في أداة القص Snipping Tool (أداة تصوير الشاشة) بنظام ويندوز، والتي كان من الممكن أن تسمح لجهات خبيثة بسرقة بيانات اعتماد المستخدمين.

وتحمل هذه الثغرة الرمز "CVE-2026-33829"، وقد تم تصحيحها رسميًا ضمن تحديثات الأمان الصادرة في 14 أبريل 2026.

اكتشف هذه الثغرة باحثو الأمن في شركة بلاك آرو (تارلوجيك) وأبلغوا عنها، وهي تُسلط الضوء على المخاطر المستمرة المرتبطة بمعالجات عناوين URL داخل تطبيقات نظام ويندوز، بحسب تقرير لموقع "سايبر سيكيوريتي نيوز" المتخصص في أخبار الأمن السيبراني، اطلعت عليه "العربية Business".

وحصلت الثغرة على درجة خطورة 4.3 وفق مقياس "CVSS 3.1"، وتم تصنيفها على أنها تكشف معلومات حساسة لجهات غير مصرح لها.

تكمن الثغرة في الطريقة التي تعالج بها أداة القص "Snipping Tool" الروابط العميقة، حيث يفشل التطبيق في التحقق من صحة المدخلات بشكل صحيح عند التعامل مع مخطط URI المعروف باسم ms-screensketch.

يمكن تبسيط هذه الثغرة بالقول إنها تتعلق بطريقة تعامل أداة "Snipping Tool" مع روابط خاصة تُستخدم لفتحها مباشرة. ففي الوضع الطبيعي، يجب على التطبيق التحقق من هذه الروابط أولًا قبل تنفيذها، لكن في حالة هذه الثغرة كان التطبيق يفشل في فحصها بشكل كافٍ.

وهذا يعني أن المهاجم قد يتمكن من خداع المستخدم عبر إرسال رابط يبدو عاديًا، لكنه يؤدي إلى سلوك غير آمن داخل التطبيق، مثل عرض محتوى مزيف أو محاولة سرقة بيانات تسجيل الدخول.

كيف يحدث الهجوم؟

رغم أن استغلال هذه الثغرة يتطلب تفاعلًا من المستخدم، فإن مستوى تعقيد الهجوم يُعد منخفضًا. وفيما يلي كيفية تنفيذ الهجوم:

- إنشاء رابط خبيث: يقوم المهاجمون بإنشاء رابط ويب محدد باستخدام مُعامل ms-screensketch: edit.

- توجيه خادع: يوجه الرابط معلمة filePath إلى خادم خارجي خبيث من نوع SMB.

- تفاعل المستخدم: يخدع المهاجم الضحية للنقر على الرابط عبر رسالة تصيّد أو موقع مخترق، ما يدفع المستخدم لتأكيد تشغيل أداة القص.

-سرقة البيانات: بعد الموافقة، تتصل أداة Snipping Tool بالخادم البعيد لجلب ملف مزيف، ما يؤدي إلى تسريب بصمة كلمة المرور (NTLMv2) الخاصة بالمستخدم في الخلفية دون علمه.

- وصول غير مصرح به: يلتقط المهاجم هذه البصمة ويمكنه استخدامها للدخول إلى الشبكة باسم المستخدم المخترق.

ويحذر خبراء الأمن من أن هذه الثغرة قابلة للاستغلال بسهولة في حملات الهندسة الاجتماعية. فقد يرسل المهاجم صفحة تبدو شرعية تطلب من المستخدم قص صورة خلفية للشركة أو تعديل صورة بطاقة تعريف.

ورغم أن أداة القص تفتح بشكل طبيعي على شاشة المستخدم، ما يجعل الطلب يبدو غير مريب، فإن عملية المصادقة (NTLM) تتم في الخلفية دون أن يلاحظها المستخدم.

ورغم أن استغلال الثغرة يؤدي إلى تسريب المعلومات، فهو لا يسمح للمهاجم بتعديل البيانات أو تعطيل النظام.

تشير "مايكروسوفت" إلى أن نضج شيفرة الاستغلال غير مثبت حاليًا، وأن استغلالها الفعلي لا يزال "غير مرجح". ولم ترد أي تقارير عن استغلالها في بيئات حقيقية.

تؤثر هذه الثغرة الأمنية على نطاق واسع من أنظمة تشغيل مايكروسوفت، بما في ذلك إصدارات متعددة من ويندوز 10 وويندوز 11 وويندوز سيرفر من عام 2012 إلى عام 2025.