Se ha descubierto una vulnerabilidad crítica en el instalador de Notepad++ versión 8.8.1, publicada el 5 de mayo de 2025, que permite a atacantes locales escalar privilegios hasta obtener control completo del sistema.
Esta falla, identificada como CVE-2025-49144, se basa en una técnica conocida como binary planting, con una prueba de concepto (PoC) disponible públicamente, lo que incrementa su gravedad y riesgo de explotación masiva.
Análisis
La vulnerabilidad radica en una ruta de búsqueda de ejecutables no controlada dentro del instalador de Notepad++. Durante la ejecución del instalador, se buscan dependencias ejecutables en el directorio actual de trabajo, sin verificar adecuadamente su autenticidad o procedencia. Este comportamiento permite que un atacante coloque archivos maliciosos, como una versión comprometida de regsvr32.exe, en el mismo directorio que el instalador.
Al ejecutar el instalador, el sistema cargará automáticamente estos binarios maliciosos con privilegios de SISTEMA, otorgando al atacante control total sobre el equipo. Este tipo de ataque es posible gracias al orden de búsqueda de DLL por defecto en sistemas Windows y requiere una interacción mínima por parte del usuario, lo que facilita su ejecución exitosa.
La prueba de concepto publicada demuestra de forma clara el proceso de explotación mediante registros de Process Monitor y evidencia en video, alertando sobre el potencial de abuso a gran escala.
Recursos afectados
-
- Versión vulnerable: 8.8.1
Recomendaciones
-
- Actualizar a Notepad++ versión 8.8.2.
Referencias