在广受欢迎的Windows开源截图工具Greenshot中,发现了一个严重的安全漏洞。
该漏洞允许本地攻击者在Greenshot进程中执行任意代码,这可能使他们能够绕过安全措施并实施进一步攻击。
一个概念验证(PoC)漏洞利用程序已被发布,展示了该问题的严重性。此漏洞影响2025年8月20日发布的Greenshot 1.3.300版本以及所有早期版本。
该漏洞已在新发布的1.3.301版本中得到解决,强烈建议所有用户立即更新软件,以防潜在的漏洞利用。
Windows截图工具Greenshot漏洞
该漏洞存在于Greenshot处理进程间通信的方式中。具体来说,它对通过Windows WM_COPYDATA消息系统接收的数据处理不当。
该应用程序使用BinaryFormatter.Deserialize处理传入数据,却未先验证其来源或完整性。这一疏忽意味着,任何以相同用户权限运行的本地进程都能向Greenshot主窗口发送特制消息,从而触发该漏洞。
问题的核心在于代码执行流程中存在一个逻辑错误。应用程序在检查通信渠道是否获得授权之前,就对接收的数据进行了反序列化。
因此,嵌入在序列化负载中的任何恶意代码或“小工具链”都会自动执行,无论发送者是否可信。
这使得攻击者能够以合法的、经过数字签名的Greenshot应用程序为幌子运行自己的代码。
此漏洞的影响重大,因为它允许在受信任的进程中执行任意代码。通过在Greenshot.exe中运行恶意负载,攻击者有可能规避AppLocker或Windows Defender应用程序控制(WDAC)等应用程序控制策略。
这些安全系统通常通过限制可执行文件的运行来发挥作用,但它们可能不会监控那些已被信任的应用程序的内部行为。
PoC的发布证明了这一点,它展示了一个简单的有效载荷如何直接从Greenshot进程启动Windows命令提示符(cmd[.]exe)。
对于企业而言,这构成了严重风险。如果攻击者在工作站上获得初始的低权限立足点,他们就可能利用已安装的Greenshot应用程序来秘密执行代码。
这种技术有时被称为“在可信应用内运行”,可用于维持访问权限、横向移动,或作为更高级进程内攻击的暂存点,而不会立即触发警报。
目前没有已知的解决方法可以缓解此漏洞,因此更新到1.3.301版本是唯一有效的解决方案。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
