FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞概述

Windows平台知名开源截图工具Greenshot近日曝出高危安全漏洞。该漏洞（CVE待分配）允许本地攻击者在Greenshot进程内执行任意代码，可能绕过安全防护措施实施进一步攻击。目前概念验证（PoC）利用代码已公开，证实该漏洞影响2025年8月20日发布的1.3.300及更早版本。开发团队已在最新发布的1.3.301版本中修复该漏洞，强烈建议所有用户立即升级。

技术原理

漏洞根源在于Greenshot处理进程间通信（IPC）机制存在缺陷。具体表现为：

1. 程序通过Windows的WM_COPYDATA消息系统接收数据时，未验证数据来源及完整性就直接使用BinaryFormatter.Deserialize方法进行反序列化
2. 代码执行流程存在逻辑错误——程序在检查通信通道授权状态前就执行了反序列化操作
3. 攻击者可构造包含恶意"gadget chain"的序列化载荷，利用相同用户权限的本地进程向Greenshot主窗口发送特制消息

攻击影响

该漏洞具有以下严重后果：

• 权限逃逸：攻击者代码可在经过数字签名的合法Greenshot进程内执行
• 防御绕过：可规避AppLocker、Windows Defender应用控制（WDAC）等基于可执行文件白名单的安全机制
• 企业风险：攻击者获取工作站低权限后，可利用已安装的Greenshot实施隐蔽攻击，包括：
  • 建立持久化后门
  • 进行横向移动
  • 作为高级内存攻击的跳板

修复建议

目前除升级至1.3.301版本外，暂无其他有效缓解措施。企业用户应特别关注：

• 立即通过官方渠道更新所有终端上的Greenshot软件
• 加强端点行为监控，防范可信进程的异常活动
• 考虑实施纵深防御策略，限制高权限进程的网络连接能力

参考来源：

Windows Screenshot Utility Greenshot Vulnerability Enable Malicious code execution – PoC Released

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）