Windows için popüler bir açık kaynak ekran görüntüsü yardımcısı Greenshot’ta kritik bir güvenlik kusuru keşfedildi.
Güvenlik açığı, yerel bir saldırganın Greenshot sürecinde keyfi kod yürütmesine izin vererek, potansiyel olarak güvenlik önlemlerini atlamalarını ve daha fazla saldırı gerçekleştirmelerini sağlar.
Konunun ciddiyetini gösteren bir kavram kanıtı (POC) istismarı yayınlandı. Güvenlik açığı, 20 Ağustos 2025’te yayınlanan Greenshot sürüm 1.3.300 ve daha önceki tüm sürümleri etkiler.
Kusur, yeni yayınlanan 1.3.301 sürümünde ele alınmıştır ve tüm kullanıcıların potansiyel sömürüye karşı korumak için yazılımlarını derhal güncellemeleri şiddetle tavsiye edilir.
Windows Ekran Görüntüsü Yardımcı Programı Greenshot Güvenlik Açığı
Güvenlik açığı, Greenshot’un işlemler arası iletişimi ele alma biçiminde yatmaktadır. Özellikle, Windows aracılığıyla alınan verileri yanlış işler WM_COPYDATA Mesaj sistemi.
Uygulama kullanıyor BinaryFormatter.Deserialize ilk olarak kökeni veya bütünlüğünü doğrulamadan gelen verileri işlemek. Bu gözetim, aynı kullanıcı ayrıcalıklarıyla çalışan herhangi bir yerel işlemin, Greenshot ana penceresine güvenlik açığını tetikleyerek özel olarak hazırlanmış bir mesaj gönderebileceği anlamına gelir.
Sorunun çekirdeği, kodun yürütme akışındaki mantıklı bir hatadır. Uygulama alınan verileri sazipleştirir önce İletişim kanalının yetkili olup olmadığını kontrol eder.
Sonuç olarak, serileştirilmiş yüke gömülü herhangi bir kötü amaçlı kod veya “gadget zinciri”, gönderene güvenilip güvenilmediğine bakılmaksızın otomatik olarak yürütülür.
Bu, bir saldırganın meşru, dijital olarak imzalanmış Greenshot uygulamasının kisvesi altında kendi kodlarını çalıştırmasına izin verir.
Bu güvenlik açığının etkisi, güvenilir bir süreçte keyfi kod yürütülmesine izin verdiği için önemlidir. Greenshot.exe içinde kötü niyetli yükler çalıştırarak, bir saldırgan potansiyel olarak Applocker veya Windows Defender Uygulama Kontrolü (WDAC) gibi uygulama kontrol politikalarından kaçabilir.
Bu güvenlik sistemleri genellikle hangi yürütülebilir ürünlerin çalışabileceğini kısıtlayarak çalışır, ancak zaten güvensiz uygulamaların dahili davranışlarını izlemeyebilir.
Bir POC’nin sürümü, basit bir yükün Windows komut istemini (CMD’yi nasıl başlatabileceğini gösteren bunu gösterir[.]exe) doğrudan Greenshot işleminden.
İşletmeler için bu ciddi bir risk oluşturmaktadır. Bir saldırgan bir iş istasyonunda ilk düşük ayrıcalıklı bir dayanak kazanırsa, kodu gizlice yürütmek için yüklü GreenShot uygulamasından yararlanabilirler.
Bazen “güvenilir bir uygulamanın içinde yaşamak” olarak adlandırılan bu teknik, kalıcılık, yanal hareket için veya acil alarmlar yükseltmeden daha gelişmiş süreç içi saldırılar için bir evreleme noktası olarak kullanılabilir.
Bu kusuru azaltmak için bilinen hiçbir geçici çözüm yoktur, bu da 1.3.301 sürümüne güncellemeyi tek etkili çözüm haline getirir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.