Grave vulnerabilità in Greenshot: rischio di esecuzione di codice malevolo su Windows

Grave vulnerabilità in Greenshot: rischio di esecuzione di codice malevolo su Windows

Una nuova e grave vulnerabilità riguarda Greenshot (versione 1.3.300 e precedenti), popolare strumento open source per la cattura di schermate su Windows: tutti gli utenti che non hanno già effettuato l’aggiornamento sono esposti a un’infezione locale che può portare un attaccante a eseguire programmi dannosi direttamente attraverso Greenshot, aggirando molte difese di Windows. Consigli chiave:

  • Aggiorna subito Greenshot almeno alla versione 1.3.301.
  • Scarica esclusivamente dal sito ufficiale.
  • Evita di utilizzare versioni non aggiornate e limita l’accesso locale solo a utenti fidati.
  • Monitora i processi sospetti su macchine condivise o aziendali.

Cos’è successo?

A metà settembre 2025 (CVSS 8.8), esperti di sicurezza hanno scoperto una vulnerabilità critica in Greenshot per Windows, identificata come CVE-2025-59050. L’exploit consente a un attaccante locale (chiunque abbia già accesso al computer, anche senza privilegi elevati) di inviare dati malevoli a Greenshot tramite il sistema di messaggistica interno di Windows (WM_COPYDATA), facendogli eseguire codice arbitrario in memoria.

La gravità della falla deriva dal modo in cui Greenshot gestisce (in modo insicuro) la deserializzazione dei dati ricevuti attraverso i messaggi tra processi: il software, infatti, affida direttamente la lettura e conversione dei dati alla funzione BinaryFormatter.Deserialize, senza verificare se questi messaggi provengano da fonti affidabili. Questo bypassa ogni verifica di autorizzazione, permettendo l’ingresso di “gadget chain” malevoli che consentono lanciare malware all’interno del processo di Greenshot.exe.

Perché la vulnerabilità è seria?

Questa tipologia di attacco:

  • Avviene interamente in memoria: nessun file dannoso viene necessariamente scritto sul disco, rendendo la rilevazione più complicata tramite antivirus e sistemi di controllo tradizionali.
  • Colpisce direttamente un processo firmato e legittimo: Greenshot, essendo un software di fiducia già installato, può essere sfruttato per aggirare strumenti di controllo esecutivo come AppLocker e Windows Defender Application Control (WDAC), che si basano sul blocco di eseguibili sconosciuti ma riconoscono Greenshot come affidabile.
  • Può essere eseguito da qualsiasi processo locale, anche senza permessi di amministratore, aumentando il rischio in realtà aziendali o su macchine multiutente.

L’attacco, nel dettaglio, avviene così:

  1. L’attaccante individua la finestra principale di Greenshot in esecuzione.
  2. Costruisce un messaggio WM_COPYDATA con un payload specificamente serializzato e malevolo.
  3. Invia il messaggio a Greenshot tramite il sistema SendMessage.
  4. Greenshot accetta e deserializza il contenuto prima di qualunque controllo, eseguendo qualsiasi codice incorporato nel messaggio.
  5. Il codice dannoso viene eseguito come processo figlio di Greenshot.exe, rendendo difficile collegare l’attività malevola a un evento anomalo.

A chi è rivolto il rischio?

La minaccia riguarda:

  • Utenti Windows di tutte le versioni che utilizzano Greenshot nelle versioni 1.3.300 o precedenti.
  • Organizzazioni aziendali, soprattutto in contesti dove più utenti hanno accesso locale a una stessa postazione.
  • Sviluppatori e amministratori che si affidano a strumenti automatizzati o policy di sicurezza basate sul controllo dei soli file eseguibili.

Impatti possibili

Le conseguenze variano dalla semplice esecuzione di comandi shell, all’installazione di malware, all’esfiltrazione di dati o all’acquisizione di privilegi più elevati in sistemi dove sono attive policy di controllo degli eseguibili ma è installato Greenshot.

Un attacco efficace potrebbe portare a:

  • Compromissione dei dati utente
  • Esecuzione di ransomware
  • Creazione di canali backdoor
  • Evitamento di rilevamento tramite strumenti di endpoint protection
  • Ulteriore scalata di privilegi

La risposta della community e degli sviluppatori

Non appena identificata, la vulnerabilità è stata comunicata dagli sviluppatori che hanno prontamente rilasciato una patch. La versione corretta, Greenshot 1.3.301, implementa controlli di validazione severi sui dati provenienti da altri processi e disabilita l’utilizzo insicuro di BinaryFormatter per fonti non attendibili.

Non esistono workaround efficaci: la sola protezione reale è aggiornare il software. Non è noto, al momento della stesura, alcun caso accertato di infezione tramite questa falla, ma la pubblicazione dei dettagli aumenta il rischio di attacchi in tempi brevissimi.

Prova di concetto: come funziona l’attacco

Dopo la pubblicazione della falla, i ricercatori hanno dimostrato in laboratorio come:

  • Un processo locale riesca a inviare WM_COPYDATA alla finestra principale di Greenshot.
  • Il payload incorporato, una volta deserializzato senza validazione, permetta azioni arbitrarie come lanciare cmd.exe o PowerShell.
  • L’esecuzione avvenga senza allarmi da parte dei classici antivirus, perché nessun file dannoso viene scritto a disco e tutto passa attraverso un’app legittima.

Raccomandazioni immediate (sintesi e approfondimento)

Aggiorna Subito:

  • Scarica Greenshot solo dal sito ufficiale [getgreenshot.org] e installa la versione 1.3.301 o successiva.
  • Rimuovi qualsiasi copia precedente dalla macchina.

Limitare l’accesso locale:

  • In ambienti su cui non puoi aggiornare subito, limita per quanto possibile l’accesso a utenti di cui ti fidi.

Applica controlli supplementari:

  • Implementa strumenti di monitoraggio per le richieste di inter-process communication (IPC) anomale.
  • Valuta policy di application sandboxing o controllo avanzato dei processi.

Verifica la presenza di processi sospetti:

  • Monitora i log per processi “cmd.exe” o “powershell.exe” lanciati come figli di Greenshot.exe.

Per aziende e sysadmin:

  • Aggiorna tramite policy centralizzate appena possibile.
  • Segnala tramite newsletter interna agli utenti e partner.
  • Integra questa vulnerabilità nei processi di vulnerability management e verifica periodica della postura di sicurezza.

Consigli approfonditi

  • Non usare versioni precedenti a Greenshot 1.3.301 anche solo temporaneamente: qualsiasi differimento, anche minimo, può esporre a rischio, soprattutto in reti aziendali o su dispositivi condivisi.
  • Controlla regolarmente gli aggiornamenti di tutti i software open source: le falle in strumenti apparentemente innocui possono diventare vettori principali di attacchi sofisticati.
  • Valuta una revisione delle policy di esecuzione in memoria: se la tua organizzazione utilizza soluzioni di “application whitelisting”, assicurati che non basti la sola firma digitale a determinare la fiducia nei processi figli.
  • Allena il personale IT e di sicurezza a riconoscere comportamenti anomali nei processi desktop comuni.
  • In caso di impossibilità di aggiornamento immediato, valutare l’isolamento delle macchine vulnerabili dalla rete interna.

Aggiorna sempre, monitora le attività dei processi, limita gli accessi locali e adotta policy di patch management rigorose: sono questi i pilastri della difesa contro minacce sempre più subdole.

Fonte: https://cybersecuritynews.com/greenshot-vulnerability

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto