Yerel saldırganların güvenilir başvuru sürecinde keyfi kötü amaçlı kod yürütmesini sağlayan popüler Greenshot ekran görüntüsü yardımcı programında kritik bir güvenlik açığı keşfedilmiştir.
CVE-2025-59050 olarak izlenen güvenlik açığı, 1.3.300’e kadar olan Greenshot sürümlerini etkiler ve 16 Eylül 2025’te yayınlanan 1.3.301 sürümünde yamalanmıştır.
Windows’ta yakalama seçeneklerini ve ekran görüntüsü hedef ayarlarını gösteren Greenshot görüntü düzenleyicisi arayüzü
Kritik Sesselleştirme Kususu, kullanıcıları yerel saldırılara maruz bırakır
Güvenlik açığı, GreenShot’un WM_COPYData mesaj sistemi aracılığıyla Windows Process Inter İletişiminin güvenli olmayan bir şekilde işlenmesinden kaynaklanmaktadır.
Güvenlik Araştırmacısı Ripfran, uygulamanın, uygun doğrulama olmadan tehlikeli binaryforme.deserialize () yöntemini kullanarak saldırgan kontrollü verileri doğrudan sazelleştirdiğini keşfetti.
Greenshot ekran görüntüsü yardımcı program ayarları ve Windows’ta Seçenekler Arabirimi
| Alan | Detaylar |
| CVE kimliği | CVE-2025-59050 |
| Şiddet | Yüksek (CVSS 8.8) |
GreenShot, WNDPROC geçersiz kılma işlevinde WM_COPYData mesajlarını işlediğinde, gelen baytları herhangi bir yerel işlemden kopyalar ve derhal seansiye için ikili formatter’e geçer.
Bu, herhangi bir yetkilendirme kontrolü yapılmadan önce gerçekleşir, yani kanal üyelik doğrulamasından bağımsız olarak kötü amaçlı kod yürütülebilir.
Bir sohbet botundaki zehirli bir modelin, bir RCE saldırısı iş akışını gösteren bir bankacılık bağlamında kullanıcılara yanlış bilgi verilmesine neden olabileceğini gösteren diyagram.
Saldırı vektörü, yerel erişim gerektirir, ancak yüksek ayrıcalıklar gerektirmez, bu da özellikle saldırganların iş istasyonlarında bir dayanakta bulunabileceği kurumsal ortamlar için bunu yapmasını sağlar.
Uyumlu bir bütünlük düzeyinde çalışan herhangi bir yerel işlem, Greenshot’un ana penceresine hazırlanmış mesajlar göndererek bu güvenlik açığından yararlanabilir.
GitHub Depo Güvenlik Genel Bakış Sayfası Güvenlik danışmanlarını ve ilgili uyarıları vurgulayan.
Bu güvenlik açığını özellikle tehlikeli kılan şey, kötü niyetli kodun yeni süreçler oluşturmak yerine meşru Greenshot.exe işleminde yürütülmesidir.
Bu, Applocker veya Windows Defender Uygulama Kontrolü (WDAC) gibi uygulama kontrol politikalarına karşı öncelikle yürütülebilir lansmanları izleyen sofistike kaçırma tekniklerini sağlar.
Güvenlik açığından etkilenen yazılımı gösteren bir ekran görüntüsünü düzenleyen GreenShot görüntü düzenleyicisi arayüzü.
Araştırmacı, bir saldırganın Greenshot’ın penceresini nasıl bulabileceğini, serileştirilmiş bir yükü oluşturabileceğini ve SendMessage API çağrılarını kullanarak kod yürütmeyi tetikleyebileceğini gösteren bir kavram kanıtı gösterisi sağladı.
Gösteride, istismar, ana süreç olarak greenshot.exe ile cmd.exe’yi başarıyla ortaya çıkardı ve keyfi kod yürütme yeteneklerini kanıtladı.
Kötü amaçlı yazılım türleri, bir bilgisayar korsanının ekranının merkezi bir görüntüsü etrafında gösterilen virüs, solucan, rootkits, casus yazılım, fidye yazılımları ve ad yazılımları içerir.
SendMessage(hwnd, WM_COPYDATA, …) yük baytıylaBu süreç içi yürütme yöntemi, saldırganların dosya sistemine dokunmadan yükleri tamamen bellekte çalıştırmalarını sağlar ve algılamayı dosya tabanlı tehditlere odaklanan geleneksel güvenlik çözümleri için önemli ölçüde daha zorlayıcı hale getirir.
GreenShot Geliştirme Ekibi, bu kritik güvenlik açığını ele almak için 1.3.301 sürümünü yayınladı ve tüm kullanıcıların güncellemesini hemen önerir.
Düzeltme, işlemler arası iletişim işlemleri için uygun doğrulama ve güvenlik kontrolleri uygulayarak güvenli olmayan seansizasyonu ele alır.
Kullanıcılar, meşru yamalı sürümü aldıklarından emin olmak için en son sürümü yalnızca getGreenShot.org adresindeki resmi GreenShot web sitesinden indirmelidir.
Kuruluşlar, ayrıcalık yükseltme ve güvenlik politikası baypas potansiyeli göz önüne alındığında, yama yönetimi döngülerinde bu güncellemeye öncelik vermelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.