Greenshot’da xavfli zaiflik — ilova ichida zararli kod ishlashi mumkin

Windows uchun mashhur ochiq manbali skrinshot-dasturi Greenshotda xavfli oqibatlarga olib keluvchi jiddiy xato topildi. Ushbu zaiflik mahalliy hujumchiga (kompyuterga bir marta past huquq bilan kirgan kishi) Greenshot jarayoni ichida o‘z kodini ishga tushirish imkonini beradi. Bu “ishonchli” dastur nomidan xavfsizlik cheklovlarini aylanib o‘tish imkonini yaratadi.

Zaiflikdan foydalangan hujumchi, kompyuterga past darajadagi huquq bilan kirgan taqdirda ham, Greenshot jarayoni ichida o‘z dasturiy kodini ishga tushira oladi. Natijada u ishonchli dastur ko‘rinishida xavfsizlik cheklovlarini chetlab o‘tishi mumkin bo‘ladi.

Muammo nima?

Greenshot protsesslararo muloqot (IPC) uchun Windows’ning WM_COPYDATA mexanizmidan foydalanadi. Dastur tashqaridan kelgan ma’lumotni BinaryFormatter.Deserialize yordamida deserializatsiya qiladi, lekin undan oldin xabar kim tomonidan yuborilganini tekshirmaydi. Natijada:

  • Har qanday mahalliy jarayon maxsus tayyorlangan xabar yuborishi mumkin;
  • Greenshot avval deserializatsiya qiladi, so‘ngra tekshiradi — ya’ni zarur tasdiqlashdan oldin kod bajariladi;
  • Deserializatsiya ichidagi “gadget chain” ishlayveradi va hujumchi kodini Greenshot.exe kontekstida ishga tushiradi.

Kimlar ta’sirlangan?

Muammo Greenshot 1.3.300 va undan oldingi barcha versiyalariga taalluqli. Muammo 1.3.301 versiyasida tuzatilgan — shuning uchun barcha foydalanuvchilar darhol yangilanishi kerak.

Nega bu xavfli?

  • Hujum mahalliy kirish (local) orqali amalga oshadi: bir martalik past darajali kirish ham yetadi.
  • Hujumchi “ishonchli” dasturning ichidan kod ishga tushirgani uchun AppLocker yoki WDAC kabi vositalar odatda bunga e’tibor bermaydi.
  • Shu yo‘l bilan hujumchi yashirincha tarmoq bo‘ylab harakatlanishi, barqarorlik o‘rnatishi yoki boshqa zararli amallarni bajarishi mumkin.

Amalga oshirilishi kerak bo‘lgan choralar

  1. Darhol yangilang. Greenshot’ni 1.3.301 (yoki undan yangi) versiyasiga o‘rnating.
  2. EDR va loglarni tekshiring. Greenshot.exe ichidan chaqirilgan shubhali jarayonlar (masalan, cmd.exe) bor-yo‘qligini qidiring.
  3. Mahalliy IPC ruxsatlarini cheklang. Jarayonlararo xabar almashishni faqat zarur bo‘lgan ilovalar bilan cheklang.
  4. Admin huquqlarini kamaytiring. Foydalanuvchilarga keraksiz admin huquqlarini bermang.
  5. Inventarizatsiya qiling. Tashkilotdagi barcha mashinalarda Greenshot versiyasini aniqlang va yangilashni markazlashgan tarzda (MDM orqali) tarqating.
  6. Foydalanuvchilarni ogohlantiring. Qisqa xabarnoma yuboring: “Greenshotni yangilang va shubhali xatti-harakatlarni xabar bering.”

Tez checklist (eng zaruri 3 qadam)

    1. Greenshot’ni hoziroq 1.3.301 ga yangilang.
    1. EDR/endpoint loglarini tekshiring (Greenshot.exe → cmd.exe kabi chaqiruvlar).
    1. Mahalliy IPC va admin huquqlarini qayta ko‘rib chiqing.

Greenshot zaifligi — kichik kod kamchiligi qanday qilib katta xavf keltirib chiqarishini ko‘rsatadi. Ochiq manbali va foydali dasturlarni doimiy yangilab borish va mahalliy xavfsizlik qoidalarini qat’iy saqlash — bu kabi tahdidlarning oldini olishning eng samarali usuli.