Ozbiljna ranjivost u programu Notepad++ verzije 8.8.1 omogućava napadačima da steknu potpuni nadzor nad sistemom korisnika.
Ovaj propust, pod oznakom CVE-2025-49144, omogućava napadačima da dobiju privilegije na nivou SYSTEM-a koristeći tehniku poznatu kao “binary planting”, a dokaz o konceptu je već javno dostupan.
Ranjivost pogađa instalacioni program za Notepad++ verziju 8.8.1, objavljen 5. maja 2025. godine, iskorištavajući nepravilno rukovanje putanjama za izvršne datoteke, što omogućava napade eskalacije lokalnih privilegija.
Istraživači bezbjednosti su utvrdili da instalacioni program bez odgovarajuće provjere traži izvršne zavisnosti u trenutnom radnom direktorijumu, stvarajući opasnu priliku za ubacivanje malicioznog koda.
Ovaj bezbjednosni nedostatak predstavlja značajan rizik zbog minimalne interakcije korisnika potrebne za njegovu eksploataciju. Vektor napada koristi standardni mehanizam pretraživanja redoslijeda Windows DLL-ova, dopuštajući napadačima da postave maliciozne izvršne datoteke koje se automatski učitavaju sa povišenim privilegijama tokom procesa instalacije.
Proces eksploatacije је jednostavan i demonstrira opasnu lakoću napada tipa “binary planting”. Napadači mogu postaviti malicioznu izvršnu datoteku, poput kompromitovanog regsvr32.exe, u isti direktorijum kao i instalacioni program za Notepad++.
Kada korisnici koji nijesu svjesni rizika pokrenu instalacioni program, sistem automatski učitava malicioznu datoteku sa SYSTEM privilegijama, dajući napadačima potpunu kontrolu nad ciljnom mašinom.
Logovi iz Process Monitor-a, koji su uključeni u materijale za dokaz koncepta, jasno pokazuju ranjivost instalacionog programa prikazujući njegovo pretraživanje izvršnih datoteka u trenutnom direktorijumu. Javni demo uključuje video dokaze koji potvrđuju uspješnu eksploataciju, podižući ozbiljnu zabrinutost zbog potencijalne široke zloupotrebe.
Notepad++ ima značajnu bazu korisnika širom svijeta, sa zvaničnom web stranicom programa koja bilježi preko 1.6 miliona posjeta mjesečno od juna 2025. godine. Ovaj tekstualni editor drži približno 1.33% tržišnog udjela u kategoriji IDE-ova i tekstualnih editora, što se prevodi na stotine hiljada potencijalno ranjivih instalacija širom svijeta.
Ranjivost predstavlja posebno ozbiljne rizike s obzirom na popularnost programa Notepad++ među programerima, IT stručnjacima i općim korisnicima u raznim industrijama.
Široka upotreba ovog softvera u korporativnim okruženjima značajno pojačava potencijalni uticaj uspješnih napada, što može dovesti do curenja podataka, lateralnog kretanja unutar mreža i potpunog ugrožavanja sistema.
Ovaj incident predstavlja dio rastućeg obrasca ranjivosti instalacionih programa koji utiču na popularne softverske aplikacije. Prethodne verzije programa Notepad++ suočile su se sa sličnim bezbjednosnim problemima, uključujući CVE-2023-6401 i CVE-2023-47452, koji su takođe uključivali otmice DLL-ova i ranjivosti eskalacije privilegija.
Ova ranjivost je u skladu sa trenutnim trendovima u oblasti sajber bezbjednosti, gdje napadači sve više ciljaju povjerljive mehanizme distribucije softvera.
Prema Globalnom izvještaju o sajber bezbjednosti za 2025. godinu, napadi na lance snabdijevanja i ranjivosti instalacionih programa predstavljaju kritične rastuće prijetnje u trenutnom bezbjednosnom pejzažu.
Programeri programa Notepad++ su brzo reagovali objavljivanjem verzije 8.8.2 kako bi riješili ovu kritičnu ranjivost. Zakrpa implementira sigurne prakse učitavanja biblioteka i provjeru apsolutnih putanja za izvršne zavisnosti, slijedeći Microsoftove preporuke za sigurno učitavanje. Korisnicima se snažno savjetuje da odmah ažuriraju na zakrpljenu verziju kako bi otklonili bezbjednosni rizik.
Stručnjaci za bezbjednost preporučuju implementaciju dodatnih zaštitnih mjera, uključujući pokretanje instalacionih programa iz sigurnih, izolovanih direktorijuma i održavanje ažuriranih rješenja za bezbjednost krajnjih tačaka sposobnih za otkrivanje napada tipa “binary planting”. Organizacije bi takođe trebale razmotriti implementaciju bijele liste aplikacija i pojačano praćenje procesa instalacije.
Ovaj incident naglašava kritičnu važnost sigurnih praksi razvoja softvera, posebno u pogledu dizajna instalacionih programa i mehanizama učitavanja zavisnosti u povjerljivim aplikacijama.
Kako se sajber prijetnje nastavljaju razvijati, zajednica za bezbjednost naglašava potrebu za proaktivnim upravljanjem ranjivostima i brzim reagovanjem na nove prijetnje koje utiču na široko korištene softverske platforme.
