Se ha descubierto una falla de seguridad crítica en Greenshot, una popular utilidad de captura de pantalla de código abierto para Windows.
La vulnerabilidad permite que un atacante local ejecute código arbitrario dentro del proceso Greenshot, lo que potencialmente les permite evitar medidas de seguridad y llevar a cabo más ataques.
Se ha publicado una exploit de prueba de concepto (POC), lo que demuestra la gravedad del problema. La vulnerabilidad afecta a Greenshot versión 1.3.300, lanzada el 20 de agosto de 2025 y todas las versiones anteriores.
El defecto tiene sido abordado En la versión 1.3.301 recientemente lanzada, y todos los usuarios están fuertemente instados a actualizar su software de inmediato para proteger contra la explotación potencial.
Utilidad de captura de pantalla de Windows Vulnerabilidad Greenshot
La vulnerabilidad se encuentra en la forma en que Greenshot maneja la comunicación entre procesos. Específicamente, procesa incorrectamente los datos recibidos a través del sistema de mensajes Windows WM_CopyData.
La aplicación utiliza binaryformatter.eserialize para procesar los datos entrantes sin validar primero su origen o integridad. Esta supervisión significa que cualquier proceso local que se ejecute con los mismos privilegios de usuario puede enviar un mensaje especialmente elaborado a la ventana principal de Greenshot, lo que desencadena la vulnerabilidad.
El núcleo del problema es un error lógico en el flujo de ejecución del código. La aplicación deserializa los datos recibidos antes de verificar si el canal de comunicación está autorizado.
En consecuencia, cualquier código malicioso, o “cadena de gadgets”, incrustado en la carga útil serializada se ejecuta automáticamente, independientemente de si se confía en el remitente.
Esto permite que un atacante ejecute su propio código bajo la apariencia de la aplicación Greenshot firmada digitalmente y digitalmente.
El impacto de esta vulnerabilidad es significativo, ya que permite la ejecución del código arbitrario dentro de un proceso confiable. Al ejecutar cargas útiles maliciosas dentro de Greenshot.exe, un atacante puede evadir las políticas de control de aplicaciones como el control de aplicaciones de Aplocker o Windows Defender (WDAC).
Estos sistemas de seguridad a menudo funcionan restringiendo qué ejecutables pueden ejecutar, pero pueden no monitorear el comportamiento interno de las aplicaciones ya confirmadas.
El lanzamiento de un POC demuestra Esto, que muestra cómo una carga útil simple puede iniciar el símbolo del sistema de Windows (CMD (.) EXE) directamente desde el proceso Greenshot.
Para las empresas, esto plantea un riesgo grave. Si un atacante gana un punto de apoyo inicial de bajo privilegio en una estación de trabajo, podría aprovechar la aplicación Greenshot instalada para ejecutar el código sigilosamente.
Esta técnica, a veces conocida como “vivir dentro de una aplicación confiable”, puede usarse para persistencia, movimiento lateral o como punto de puesta en escena para ataques más avanzados en proceso sin generar alarmas inmediatas.
No existen soluciones conocidas para mitigar este defecto, lo que hace que la actualización de la versión 1.3.301 sea la única solución efectiva.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
