Ozbiljna ranjivost u programu Notepad++ verzije 8.8.1 omogućava napadačima da steknu potpuni nadzor nad sistemom korisnika.
Ovaj propust, pod oznakom CVE-2025-49144, omogućava napadačima da dobiju privilegije na nivou SYSTEM-a koristeći tehniku poznatu kao “binary planting”, a dokaz o konceptu je već javno dostupan.
Ranjivost pogađa instalacioni program za Notepad++ verziju 8.8.1, objavljen 5. maja 2025. godine, iskorištavajući nepravilno rukovanje putanjama za izvršne datoteke, što omogućava napade eskalacije lokalnih privilegija.
Istraživači sigurnosti su utvrdili da instalacioni program bez odgovarajuće provjere traži izvršne zavisnosti u trenutnom radnom direktorijumu, stvarajući opasnu priliku za ubacivanje zlonamjernog koda.
Ovaj sigurnosni nedostatak predstavlja značajan rizik zbog minimalne interakcije korisnika potrebne za njegovu eksploataciju. Vektor napada koristi standardni mehanizam pretraživanja redoslijeda Windows DLL-ova, dopuštajući napadačima da postave zlonamjerne izvršne datoteke koje se automatski učitavaju s povišenim privilegijama tokom procesa instalacije.
Metodologija napada i dokaz koncepta
Proces eksploatacije je jednostavan i demonstrira opasnu lakoću napada tipa “binary planting”. Napadači mogu postaviti zlonamjernu izvršnu datoteku, poput kompromitovanog regsvr32.exe, u isti direktorij kao i instalacioni program za Notepad++.
Kada korisnici koji nisu svjesni rizika pokrenu instalacioni program, sistem automatski učitava zlonamjernu datoteku sa SYSTEM privilegijama, dajući napadačima potpunu kontrolu nad ciljnom mašinom.
Logovi iz Process Monitor-a, koji su uključeni u materijale za dokaz koncepta, jasno pokazuju ranjivost instalacionog programa prikazujući njegovo pretraživanje izvršnih datoteka u trenutnom direktorijumu. Javni demo uključuje video dokaze koji potvrđuju uspješnu eksploataciju, podižući ozbiljnu zabrinutost zbog potencijalne široke zloupotrebe.
Notepad++ ima značajnu bazu korisnika širom svijeta, sa zvaničnom web stranicom programa koja bilježi preko 1.6 miliona posjeta mjesečno od juna 2025. godine. Ovaj tekstualni editor drži približno 1.33% tržišnog udjela u kategoriji IDE-ova i tekstualnih editora, što se prevodi na stotine hiljada potencijalno ranjivih instalacija širom svijeta.
Ranjivost predstavlja posebno ozbiljne rizike s obzirom na popularnost programa Notepad++ među programerima, IT stručnjacima i općim korisnicima u raznim industrijama.
Široka upotreba ovog softvera u korporativnim okruženjima značajno pojačava potencijalni uticaj uspješnih napada, što može dovesti do curenja podataka, lateralnog kretanja unutar mreža i potpunog ugrožavanja sistema.
Ovaj incident predstavlja dio rastućeg obrasca ranjivosti instalacionih programa koji utiču na popularne softverske aplikacije. Prethodne verzije programa Notepad++ suočile su se sa sličnim sigurnosnim problemima, uključujući CVE-2023-6401 i CVE-2023-47452, koji su također uključivali otmice DLL-ova i ranjivosti eskalacije privilegija.
Ova ranjivost je u skladu sa trenutnim trendovima u oblasti sajber sigurnosti, gdje napadači sve više ciljaju povjerljive mehanizme distribucije softvera.
Prema Globalnom izvještaju o sajber sigurnosti za 2025. godinu, napadi na lance snabdijevanja i ranjivosti instalacionih programa predstavljaju kritične rastuće prijetnje u trenutnom sigurnosnom pejzažu.
Mitigacija i odgovor
Programeri programa Notepad++ su brzo reagovali objavljivanjem verzije 8.8.2 kako bi riješili ovu kritičnu ranjivost. Zakrpa implementira sigurne prakse učitavanja biblioteka i provjeru apsolutnih putanja za izvršne zavisnosti, slijedeći Microsoftove preporuke za sigurno učitavanje. Korisnicima se snažno savjetuje da odmah ažuriraju na zakrpljenu verziju kako bi otklonili sigurnosni rizik.
Stručnjaci za sigurnost preporučuju implementaciju dodatnih zaštitnih mjera, uključujući pokretanje instalacionih programa iz sigurnih, izoliranih direktorija i održavanje ažuriranih rješenja za sigurnost krajnjih tačaka sposobnih za otkrivanje napada tipa “binary planting”. Organizacije bi također trebale razmotriti implementaciju bijele liste aplikacija i pojačano praćenje procesa instalacije.
Ovaj incident naglašava kritičnu važnost sigurnih praksi razvoja softvera, posebno u pogledu dizajna instalacionih programa i mehanizama učitavanja zavisnosti u povjerljivim aplikacijama.
Kako se sajber prijetnje nastavljaju razvijati, zajednica za sigurnost naglašava potrebu za proaktivnim upravljanjem ranjivostima i brzim reagovanjem na nove prijetnje koje utiču na široko korištene softverske platforme.
