S’ha descobert una vulnerabilitat crítica en l’instal·lador de Notepad++ versió 8.8.1, publicada el 5 de maig de 2025, que permet els atacants locals escalar privilegis fins a obtindre el control complet del sistema.
Esta fallada, identificada com CVE-2025-49144, es basa en una tècnica coneguda com a binary planting, amb una prova de concepte (PoC) disponible públicament, la qual cosa incrementa la seua gravetat i el risc d’explotació massiva
Anàlisi
La vulnerabilitat radica en una ruta de busca d’executables no controlada dins de l’instal·lador de Notepad++. Durant l’execució de l’instal·lador, es busquen dependències executables en el directori actual de treball, sense verificar adequadament la seua autenticitat o procedència. Este comportament permet que un atacant col·loque arxius maliciosos, com una versió compromesa de regsvr32.exe, en el mateix directori que l’instal·lador.
En executar l’instal·lador, el sistema carregarà automàticament estos binaris maliciosos amb privilegis de SISTEMA i atorgarà l’atacant el control total sobre l’equip. Este tipus d’atac és possible gràcies a l’orde de busca de DLL per defecte en sistemes Windows i necessita una interacció mínima per part de la persona usuària, la qual cosa facilita la seua execució exitosa.
La prova de concepte publicada demostra de manera clara el procés d’explotació mitjançant registres de Process Monitor i evidència en vídeo, i alerta sobre el potencial d’abús a gran escala.
Recursos afectats
-
- Versió vulnerable: 8.8.1
Recomanacions
-
- Actualització de Notepad++ a la versió 8.8.2.
Referències