CVE-2025-49144 Sicherheitslücke: Kritische Privilegieneskalationslücke in Notepad++ führt zur vollständigen Systemübernahme

Die Sommersaison hat sich als alarmierend heiß erwiesen, nicht wegen steigender Temperaturen, sondern aufgrund eines Anstiegs kritischer Cybersecurity-Schwachstellen. Bedrohungsakteure haben ihre Ausnutzungsbemühungen intensiviert und zielen dabei auf weit verbreitete Software und Systeme ab. Zu den jüngsten Beispielen gehören CVE-2025-6018 und CVE-2025-6019, zwei Schwachstellen zur lokalen Privilegieneskalation (LPE), die auf wichtige Linux-Distributionen abzielen, sowie ein Trio von Schwachstellen in der SimpleHelp RMM-Plattform , die genutzt wurden, um DragonForce-Ransomware durch doppelte Erpressungstaktiken zu implementieren.

Nun ist eine neue und schwerwiegende Bedrohung aufgetaucht. CVE-2025-49144 ist eine Privilegieneskalationsschwachstelle, die in Notepad++ Version 8.8.1 entdeckt wurde und es Angreifern ermöglicht, über eine Binary-Pflanztechnik auf SYSTEM-Ebene zuzugreifen. Mit einem bereits in der Wildnis verfügbaren Proof-of-Concept-Exploit sind nun Millionen von Nutzern dem Risiko einer vollständigen Systemkompromittierung ausgesetzt.

Die Ausnutzung von Schwachstellen bleibt einer der häufigsten initialen Angriffsvektoren. Bisher haben Angreifer im Jahr 2025 Schwachstellen für den anfänglichen Zugriff ausgenutzt 34 % mehr als im Vorjahr, was zu einem signifikanten Anstieg von Sicherheitsverletzungen geführt hat. Infolgedessen müssen sich Verteidiger auf zeitnahe Erkennungsinhalte und fortschrittliche Bedrohungsjagdingstrumente verlassen, um mit einer zunehmend aggressiven Bedrohungslandschaft Schritt zu halten.

Melden Sie sich für die SOC Prime Platform an , um Zugriff auf den globalen aktiven Bedrohungs-Feed zu erhalten, der Echtzeitinformationen über Cyber-Bedrohungen und kuratierte Erkennungsalgorithmen bietet, unterstützt durch eine vollständige Produktpalette für KI-gestützte Erkennungstechniken, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung. Alle Regeln sind mit mehreren SIEM-, EDR- und Data-Lake-Formaten kompatibel und auf den MITRE ATT&CK® Rahmen abgestimmt. Zusätzlich ist jede Regel mit CTI Links, Angriffszeitplänen, Audit-Konfigurationen, Triagempfehlungen und mehr relevantem Kontext angereichert. Drücken Sie den Detektionen erkunden -Button, um den gesamten Erkennungsstack für die proaktive Verteidigung gegen kritische Schwachstellen zu sehen, gefiltert nach dem „CVE“-Tag.

Detektionen erkunden

Darüber hinaus können Sicherheitsexperten die Bedrohungsermittlung mit Uncoder AI, einer privaten IDE & Co-Pilot für bedrohungsinformierte Erkennungstechniken, optimieren. Generieren Sie Erkennungsalgorithmen aus Roh-Drohberichten, führen Sie schnelle IOC-Überprüfungen in leistungsoptimierten Abfragen durch, prognostizieren Sie ATT&CK-Tags, optimieren Sie Abfragecode mit KI-Tipps und übersetzen Sie ihn in mehrere SIEM-, EDR- und Data-Lake-Sprachen.

CVE-2025-49144 Analyse

Verteidiger haben CVE-2025-49144 identifiziert, eine neue Privilegieneskalations Schwachstelle in Notepad++ v8.8.1, einem der weltweit am weitesten verbreiteten Texteditoren. Der kritische Fehler mit einem CVSS-Score von 7,3 ermöglicht es Angreifern, Privilegien auf NT AUTHORITYSYSTEM zu eskalieren und potenziell die vollständige Kontrolle über ein Zielsystem zu erlangen. Sicherheitsforscher betrachten diese Schwachstelle als eine der kritischsten in der Geschichte der Anwendung, wobei die öffentliche Veröffentlichung eines PoC-Exploits das Risiko sowohl für einzelne Nutzer als auch für Organisationen erheblich erhöht.

Im Kern des Problems steht eine Schwäche in der Suchpfadlogik des Installationsprogramms, die es versäumt, das während des Installationsprozesses geladene Binary sicher zu validieren. Dies öffnet die Tür für DLL-Hijacking oder Binary-Pflanzung, bei der eine bösartige ausführbare Datei, die sich als vertrauenswürdige Systemdatei wie regsvr32.exe ausgibt, vom Installationsprogramm leise geladen werden kann. Die Angriffssequenz ist relativ einfach und erfordert minimalen Benutzeraufwand.

In der Anfangsphase des Angriffs erstellen die Angreifer eine bösartige ausführbare Datei namens regsvr32.exe. Das Opfer wird überlistet, typischerweise durch Social Engineering oder Clickjacking, beide, das legitime Notepad++-Installationsprogramm und die bösartige Datei herunterzuladen. Beide Dateien werden im selben Verzeichnis abgelegt, oft im Standard-Download-Ordner. Wenn der Benutzer das Installationsprogramm ausführt, lädt es unbewusst die bösartige regsvr32.exe aufgrund des anfälligen Suchpfadverhaltens. Die bösartige Binärdatei wird dann mit Systemberechtigungen ausgeführt, wodurch der Angreifer vollen administrativen Zugriff erhält. Einmal ausgenutzt, ist das System effektiv kompromittiert, was es den Bedrohungsakteuren ermöglicht, beliebigen Code auszuführen, Sicherheitstools zu deaktivieren, sich seitlich im Netzwerk zu bewegen oder persistente Hintertüren zu installieren.

In den beobachteten Kampagnen nutzten Hacker eine vielfältige Palette von Werkzeugen, um Persistenz zu bewahren und Post-Compromise-Operationen durchzuführen. Unter ihnen war blghtd, eine Netzwerkskomponente für Befehlstasken und C2-Server. Um den kontinuierlichen Betrieb der Kernkomponenten sicherzustellen, setzten sie jvnlpeein, ein Wachhunddienstprogramm, das darauf ausgelegt ist, wichtige Binärdateien bei Unterbrechung neu zu starten. Das cisz Modul diente als Initialisierer, verantwortlich für die Einrichtung der Umgebung und die Bereitstellung zusätzlicher Komponenten. Für tiefere Prozessmanipulation injizierten Angreifer libguic.so, eine für systemweite Interaktion maßgeschneiderte Shared Library. Um die Zielumgebung zu kartieren und Netzwerkdaten abzufangen, setzten sie Aufklärungstools wie tcpdump, nbtscan, und openLDAPein. Das dskz Dienstprogramm erleichterte die Prozessinjektion und ermöglichte die Einschleusung von bösartigem Code in aktive Prozesse. Schließlich wurde ldnet, ein in Go geschriebener und mit UPX gepackter Reverse-SSH-Client, verwendet, um Fernzugriff zu etablieren und Daten von kompromittierten Systemen zu exfiltrieren.

Obwohl Notepad++ normalerweise nicht als Hochrisiko-Anwendung angesehen wird, machen seine weit verbreitete Verwendung und sein vertrauenswürdiger Ruf es zu einem Hauptziel für Lieferkettenangriffe. Die Entdeckung dieser Privilegieneskalationsschwachstelle zeigt die Risiken auf, die selbst von scheinbar harmlosen Software-Installationsprogrammen ausgehen, wenn grundlegende Sicherheitspraktiken wie sichere Suchpfadhandhabung übersehen werden.

In Anbetracht der geringen Komplexität der Ausnutzung von CVE-2025-49144 und der öffentlichen Verfügbarkeit von PoC-Tools, werden Sicherheitsteams aufgefordert, umgehend Maßnahmen zu ergreifen. Als CVE-2025-49144-Minderungsmaßnahmen sollten Organisationen auf Notepad++ v8.8.2 oder höher upgraden, das den unsicheren Pfadverweisfehler behebt, und vorübergehend die Installation von Endgerätsoftware einschränken, bis die Umgebung vollständig gesichert ist. Um die Angriffsfläche zu reduzieren, ist es entscheidend, Installationspfade zu prüfen, Schreibberechtigungen in benutzerzugänglichen Ordnern zu beschränken und das Verhalten von Installationsprogrammen zu überwachen, insbesondere in gängigen Verzeichnissen wie Downloads. Für zusätzlichen Schutz sollten Sicherheitsteams AppLocker, WDAC oder SRP implementieren, um die Ausführung von Binärdateien aus Benutzerschreiborten zu blockieren, die Ausführung unautorisierter Dateien wie regsvr32.exe außerhalb zugelassener Verzeichnisse zu verhindern und die digitale Signaturüberprüfung für alle ausführbaren Dateien zu erzwingen. Zusätzlich bietet das regelmäßige Scannen von Installationsverzeichnissen nach verdächtigen Dateien, die auf Manipulationen oder bösartige Aktivitäten hinweisen könnten, eine zusätzliche Schutzschicht, um die Risiken einer Ausnutzung von CVE-2025-49144 zu minimieren. Um Sicherheitsteams dabei zu unterstützen, Cyber-Bedrohungen zu überflügeln und die Infrastruktur der Organisation gegen Risiken von Schwachstellenausnutzung zu schützen, bietet SOC Prime eine umfassende Produktsuite , unterstützt durch KI, automatisierte Funktionen und Echtzeit-CTI, und basierend auf Zero-Trust Prinzipien, um eine auf den Schutz der Privatsphäre ausgerichtete und zukunftssichere Unternehmenssicherheit zu gewährleisten.