近日(2025年6月24日),研究人员披露 Notepad++ 8.8.1 安装包存在显著提权漏洞(CVE‑2025‑49144),攻击者仅需摆放一个恶意程序,用户运行安装文件即可被默默提权至 SYSTEM 级权限,系统将完全被控。
漏洞实质 🔍
-
漏洞根源:Notepad++ 安装器在寻找依赖可执行程序(如 regsvr32.exe)时,会先在当前文件夹中查找,且不做验证,形成典型的“二进制投放”(binary planting)路径漏洞。 -
攻击流程:攻击者诱导受害者将官方安装器和恶意 regsvr32.exe 放在同一目录(例如 Downloads)。受害者双击安装后,即自动加载恶意程序,攻击者即拿到 SYSTEM 权限。 -
影响范围:所有运行 Windows、下载并安装 Notepad++ 8.8.1 安装器的用户都有风险,尤其是开发者、运维、安全从业人员等常常直接使用官方安装包的人群。
漏洞评级与时间线
|
|
|
|---|---|
| CVE 编号 |
|
| 发布时间 |
|
| CVSS 评分 |
|
| 易被利用性 |
|
| 修复状态 |
|
非新鲜事:Notepad++ 历史漏洞频发
-
2023 年,多个 DLL 注入、缓冲区溢出漏洞存在于 8.5.x 版本,严重时可导致任意代码执行。 -
同年 12 月,dbghelp.exe 路径漏洞(CVE‑2023‑6401)被发现,但当时修复推迟。 -
2024 年,Notepad++ 插件(例如 mimeTools.dll)被劫持,利用默认加载机制传播恶意代码。 -
2024 年初,WogRAT 恶意利用 Notepad 服务发动跨平台攻击,影响 Windows/Linux。
从过去到现在,Notepad++ 的组件安全一直脆弱不堪,漏洞频发值得高度关注。
💡 安全建议
-
立即升级:所有 Notepad++ 用户请务必更新至 8.8.2 及以上版本。 -
下载渠道谨慎:强烈建议从 Notepad++ 官网、GitHub Releases 下载,不使用第三方镜像或链接。 -
安装隔离建议:对于重要设备,将安装操作限于受控目录,避免与下载文件混杂。 -
强化本地保护机制:结合用户权限控制、安装时 UAC 弹出提示等机制阻挡本地投毒路径。 -
提升警惕:定期清理 Downloads 文件夹,不随意执行下载的 EXE 和 DLL;企业可结合 EDR 工具拦截异常加载行为。
总结
Notepad++ 一向被视为轻量、灵活、免费的 Windows 文本编辑器,深受开发者及普通用户喜爱。但此次安装器路径漏洞揭示了软件生态链的隐患:“无恶意安装”并不意味着安全,二进制投放同样可让系统瞬间崩盘。
为避免成为社工诱导和本地“静默攻击”的受害者,从立刻升级、严控安装源、杜绝混放安装安装目录开始,是当前最务实的安全行动。也提醒所有安全从业者:最危害安全的路径,都源于最微小的不严谨。
最后多说一嘴,notapadd++早该卸载了,这玩意的作者不是好人。我就人身攻击了,懂得都懂。
-
poc 地址:
https://github.com/notepad-plus-plus/notepad-plus-plus/security/advisories/GHSA-9vx8-v79m-6m24
原文始发于微信公众号(独眼情报):Notepad++ 存严重提权漏洞,PoC 已流出
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论