Windows 截图工具 Greenshot 曝高危漏洞 可执行任意代码(PoC已公开)
漏洞概述
Windows平台知名开源截图工具Greenshot近日曝出高危安全漏洞。该漏洞(CVE待分配)允许本地攻击者在Greenshot进程内执行任意代码,可能绕过安全防护措施实施进一步攻击。目前概念验证(PoC)利用代码已公开,证实该漏洞影响2025年8月20日发布的1.3.300及更早版本。开发团队已在最新发布的1.3.301版本中修复该漏洞,强烈建议所有用户立即升级。
漏洞根源在于Greenshot处理进程间通信(IPC)机制存在缺陷。具体表现为:
程序通过Windows的WM_COPYDATA消息系统接收数据时,未验证数据来源及完整性就直接使用BinaryFormatter.Deserialize方法进行反序列化代码执行流程存在逻辑错误——程序在检查通信通道授权状态前就执行了反序列化操作攻击者可构造包含恶意"gadget chain"的序列化载荷,利用相同用户权限的本地进程向Greenshot主窗口发送特制消息攻击影响该漏洞具有以下严重后果:
(1) 权限逃逸:攻击者代码可在经过数字签名的合法Greenshot进程内执行
(2) 防御绕过:可规避AppLocker、Windows Defender应用控制(WDAC)等基于可执行文件白名单的安全机制
(3) 企业风险:攻击者获取工作站低权限后,可利用已安装的Greenshot实施隐蔽攻击,包括:
建立持久化后门进行横向移动作为高级内存攻击的跳板修复建议目前除升级至1.3.301版本外,暂无其他有效缓解措施。企业用户应特别关注:
立即通过官方渠道更新所有终端上的Greenshot软件加强端点行为监控,防范可信进程的异常活动考虑实施纵深防御策略,限制高权限进程的网络连接能力
THE END
