About Teletype
Join
THREAD
@thread_type
September 30

CVE-2025-56383 - DLL Hijacking в Notepad++

Уязвимость типа DLL Hijacking в текстовом редакторе Notepad++ версии 8.8.3 (и, возможно, других версиях). Уязвимость позволяет локальному атакующему заменить легитимную библиотеку DLL в директории плагинов Notepad++ (например, NppExport.dll) на вредоносную с тем же именем. При запуске приложения notepad++.exe вредоносная DLL загружается и выполняет произвольный код в контексте процесса, что может привести к компрометации системы. Атака не требует сетевого доступа или привилегий, но предполагает доступ к файловой системе для замены DLL.

Сообщество THREAD предупреждает, что перед запуском предоставленного программного обеспечения необходимо проявить особую осторожность. Для защиты рабочих станций от возможного заражения рекомендуется использовать виртуальную машину или песочницу.
Все осуществляется на ваш страх и риск!

Технические детали

  • Пораженные версии: Notepad++ v8.8.3 (включая установки через npp.8.8.3.Installer.x64.exe; потенциально любая версия с уязвимой загрузкой плагинов).
  • Платформы: Windows
  • Тип уязвимости: DLL Hijacking (CWE-427: Uncontrolled Search Path Element) — отсутствие проверки целостности или подписи загружаемых DLL.
  • CVSS v3.1: 7.8 (Высокий). Вектор: AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (локальный доступ, низкая сложность, без привилегий, без взаимодействия пользователя, высокое влияние на конфиденциальность, целостность и доступность).
  • Точка входа: Директория плагинов Notepad++ (например, Notepad++\plugins\NppExport\), где приложение загружает DLL (например, NppExport.dll) без проверки пути или подписи.

Влияние

Уязвимость позволяет атакующему выполнить произвольный код с привилегиями

Уязвимость позволяет локальному атакующему с доступом к файловой системе выполнить произвольный код с привилегиями пользователя, запустившего Notepad++. Возможные последствия:

  • Выполнение вредоносного кода: Атакующий может внедрить трояны, ransomware, spyware или бэкдоры, запустив их при открытии Notepad++. Например, вредоносная DLL может выполнять команды, такие как запуск cmd.exe или загрузка дополнительных эксплойтов с удаленных серверов.
  • Кража данных: Поскольку Notepad++ часто используется для редактирования конфиденциальных файлов (исходный код, конфигурации, заметки), атакующий может перехватывать содержимое файлов, буфер обмена или данные в памяти процесса. Это угрожает утечкой учетных данных, ключей API или интеллектуальной собственности.
  • Эскалация привилегий: Если Notepad++ запускается с повышенными правами (например, от имени администратора), вредоносная DLL наследует эти привилегии, позволяя атакующему модифицировать системные файлы, реестр Windows или обойти механизмы безопасности (например, UAC).
  • Системные сбои: Вредоносная DLL может вызывать сбои приложения или системы, приводя к потере данных или нарушению рабочих процессов, особенно если Notepad++ интегрирован в автоматизированные процессы (например, CI/CD).
  • Косвенные атаки: Уязвимость может быть частью цепочки атак, например, для распространения вредоносного ПО в корпоративной сети через общие директории или для компрометации цепочки поставок, если атакующий распространяет модифицированную версию Notepad++.
  • Сценарии риска:
    • Обычные пользователи: Риск кражи личных данных или заражения системы при открытии файлов, ассоциированных с Notepad++ (например, .txt, .cpp).
    • Разработчики: Угроза утечки исходного кода или ключей шифрования.
    • Корпоративные среды: Масштабная компрометация, если Notepad++ используется на рабочих станциях или серверах с общими папками.
    • Автоматизация: Системы, где Notepad++ запускается автоматически, особенно уязвимы, так как атака не требует взаимодействия пользователя.

Download | Github

#exploit
September 30, 18:13
0 views
0 reposts