漏洞概述

Windows平臺知名開源截圖工具Greenshot近日曝出高危安全漏洞。該漏洞（CVE待分配）允許本地攻擊者在Greenshot進程內執行任意代碼，可能繞過安全防護措施實施進一步攻擊。目前概念驗證（PoC）利用代碼已公開，證實該漏洞影響2025年8月20日發布的1.3.300及更早版本。開發團隊已在最新發布的1.3.301版本中修復該漏洞，強烈建議所有用戶立即升級。

技術原理

漏洞根源在于Greenshot處理進程間通信（IPC）機制存在缺陷。具體表現為：

• 程序通過Windows的WM_COPYDATA消息系統接收數據時，未驗證數據來源及完整性就直接使用BinaryFormatter.Deserialize方法進行反序列化
• 代碼執行流程存在邏輯錯誤——程序在檢查通信通道授權狀態前就執行了反序列化操作
• 攻擊者可構造包含惡意"gadget chain"的序列化載荷，利用相同用戶權限的本地進程向Greenshot主窗口發送特制消息

攻擊影響

該漏洞具有以下嚴重后果：

(1) 權限逃逸：攻擊者代碼可在經過數字簽名的合法Greenshot進程內執行

(2) 防御繞過：可規避AppLocker、Windows Defender應用控制（WDAC）等基于可執行文件白名單的安全機制

(3) 企業風險：攻擊者獲取工作站低權限后，可利用已安裝的Greenshot實施隱蔽攻擊，包括：

• 建立持久化后門
• 進行橫向移動
• 作為高級內存攻擊的跳板

修復建議

目前除升級至1.3.301版本外，暫無其他有效緩解措施。企業用戶應特別關注：

• 立即通過官方渠道更新所有終端上的Greenshot軟件
• 加強端點行為監控，防范可信進程的異常活動
• 考慮實施縱深防御策略，限制高權限進程的網絡連接能力