Vulnerabilidad CVE-2025-49144: Falla crítica de escalamiento de privilegios en Notepad++ lleva a toma completa del sistema

La temporada de verano ha demostrado ser alarmantemente caliente, no debido a las temperaturas en aumento, sino por un aumento de vulnerabilidades críticas en ciberseguridad. Los actores de amenazas han intensificado los esfuerzos de explotación, atacando software y sistemas ampliamente utilizados. Ejemplos recientes incluyen CVE-2025-6018 y CVE-2025-6019, dos fallos de escalada de privilegios locales (LPE) que atacan a las principales distribuciones de Linux, así como un trío de vulnerabilidades en la plataforma RMM SimpleHelp que fueron aprovechadas para desplegar el ransomware DragonForce mediante tácticas de doble extorsión.

Ahora, ha surgido una nueva y severa amenaza. CVE-2025-49144 es una vulnerabilidad de escalada de privilegios descubierta en Notepad++ versión 8.8.1, que permite a los atacantes lograr acceso a nivel de SISTEMA mediante una técnica de planting de binarios. Con un exploit de prueba de concepto ya en el ámbito público, millones de usuarios ahora están expuestos al riesgo de un compromiso total del sistema.

La explotación de vulnerabilidades sigue siendo uno de los vectores de ataque inicial más comunes. Hasta ahora, en 2025, los atacantes han aprovechado vulnerabilidades para acceso inicial un 34% más que el año anterior, conduciendo a un aumento significativo en las brechas de seguridad. Como resultado, los defensores deben depender de contenido de detección oportuno y herramientas avanzadas de caza de amenazas para mantenerse al ritmo de un panorama de amenazas cada vez más agresivo.

Regístrate en la Plataforma SOC Prime para acceder a la fuente global de amenazas activas, que ofrece inteligencia de amenazas cibernéticas en tiempo real y algoritmos de detección curados respaldados por una suite completa de productos para ingeniería de detección impulsada por IA, caza de amenazas automatizada y detección de amenazas avanzada. Todas las reglas son compatibles con múltiples formatos SIEM, EDR y de Data Lake y están mapeadas con el marco MITRE ATT&CK® . Además, cada regla se enriquece con CTI enlaces, líneas de tiempo de ataques, configuraciones de auditoría, recomendaciones de triaje y más contexto relevante. Presiona el botón Explorar Detecciones para ver toda la pila de detección para la defensa proactiva contra vulnerabilidades críticas filtradas por la etiqueta ‘CVE’.

botón Explorar Detecciones

Además, los expertos en seguridad podrían agilizar la investigación de amenazas usando Uncoder AI, un IDE privado y copiloto para la ingeniería de detección informada por amenazas. Genera algoritmos de detección a partir de informes de amenazas en bruto, habilita barridos rápidos de IOC en consultas optimizadas para el rendimiento, predice etiquetas ATT&CK, optimiza el código de consultas con consejos de IA y lo traduce a través de múltiples lenguajes SIEM, EDR y de Data Lake.

Análisis de CVE-2025-49144

Los defensores han identificado CVE-2025-49144, una nueva vulnerabilidad de escalada de privilegios en Notepad++ v8.8.1, uno de los editores de texto más utilizados en el mundo. El fallo crítico con un puntaje CVSS de 7.3 permite a los adversarios escalar privilegios a NT AUTHORITYSYSTEM, potencialmente consiguiendo control completo sobre un sistema objetivo. Los investigadores de seguridad consideran esta vulnerabilidad entre las más críticas en la historia de la aplicación, con la publicación pública de un exploit de PoC que incrementa significativamente el riesgo tanto para usuarios individuales como para organizaciones.

En el corazón del problema se encuentra una debilidad en la lógica de búsqueda de rutas del instalador, que no valida de manera segura el binario que carga durante el proceso de instalación. Esto abre la puerta a secuestro de DLL o planting de binarios, donde un ejecutable malicioso se disfraza como un archivo de sistema de confianza, como regsvr32.exe, y puede ser cargado silenciosamente por el instalador. La secuencia de ataque es relativamente simple y requiere mínima interacción del usuario. 

En la etapa inicial del ataque, los adversarios crean un ejecutable malicioso llamado regsvr32.exe. La víctima es engañada, típicamente a través de ingeniería social o clickjacking, para descargar tanto el instalador legítimo de Notepad++ como el archivo malicioso. Ambos archivos se colocan en el mismo directorio, a menudo en la carpeta de Descargas por defecto. Cuando el usuario ejecuta el instalador, sin saberlo, carga el regsvr32.exe malicioso debido al comportamiento vulnerable de la ruta de búsqueda. El binario malicioso se ejecuta entonces con privilegios a nivel de SISTEMA, otorgando al atacante acceso administrativo completo. Una vez explotado, el sistema se compromete efectivamente, permitiendo a los actores de amenazas ejecutar código arbitrario, deshabilitar herramientas de seguridad, moverse lateralmente dentro de una red o implantar puertas traseras persistentes.

En las campañas observadas, los hackers utilizaron un conjunto diverso de herramientas para mantener la persistencia y ejecutar operaciones post-compromiso. Entre ellas estaba blghtd, un componente de red utilizado para tareas de comando y servidores C2. Para asegurar la operación continua de cargas útiles centrales, desplegaron jvnlpe, una utilidad de vigilancia diseñada para monitorear y relanzar binarios clave si se interrumpen. El módulo cisz sirvió como un inicializador, responsable de configurar el entorno y desplegar componentes adicionales. Para una manipulación más profunda de procesos, los atacantes inyectaron libguic.so, una biblioteca compartida adaptada para la interacción a nivel de sistema. Para mapear el entorno objetivo e interceptar datos de red, utilizaron herramientas de reconocimiento como tcpdump, nbtscan, y openLDAP. La utilidad dskz facilitó la inyección de procesos, permitiendo la inserción de código malicioso en procesos activos. Finalmente, ldnet, un cliente SSH inverso escrito en Go y empaquetado con UPX, se utilizó para establecer acceso remoto y exfiltrar datos de sistemas comprometidos.

Aunque Notepad++ no se considera típicamente como una aplicación de alto riesgo, su uso generalizado y reputación de confianza lo hacen un objetivo principal para ataques a la cadena de suministro. El descubrimiento de esta vulnerabilidad de escalada de privilegios resalta los riesgos que presentan incluso los instaladores de software aparentemente benignos cuando se pasan por alto prácticas básicas de seguridad, como el manejo seguro de rutas de búsqueda.

Dada la baja complejidad de explotar CVE-2025-49144 y la disponibilidad pública de herramientas PoC, se insta a los equipos de seguridad a tomar medidas inmediatas. Como medidas de mitigación de CVE-2025-49144, las organizaciones deberían actualizar a Notepad++ v8.8.2 o posterior, que resuelve la falla de referencia de ruta insegura, y restringir temporalmente las instalaciones de software por parte de los usuarios finales hasta que el entorno esté completamente asegurado. Para reducir la superficie de ataque, es crítico auditar las rutas de instalación, limitar los permisos de escritura en carpetas accesibles por el usuario y monitorear el comportamiento del instalador, especialmente en directorios comunes como Descargas. Para una protección adicional, los equipos de seguridad deberían implementar AppLocker, WDAC o SRP para bloquear la ejecución de binarios desde ubicaciones escribibles por el usuario, prevenir que archivos no autorizados como regsvr32.exe se ejecuten fuera de directorios aprobados, y reforzar la verificación de firmas digitales para todos los ejecutables. Además, escanear regularmente los directorios del instalador en busca de archivos sospechosos que puedan indicar manipulación o actividad maliciosa proporciona una capa adicional de protección para minimizar los riesgos de explotación de CVE-2025-49144. Para ayudar a los equipos de seguridad a superar las amenazas cibernéticas y proteger la infraestructura de la organización contra los riesgos de explotación de vulnerabilidades, SOC Prime ofrece una suite de productos integral respaldada por capacidades automatizadas e IA, y un CTI en tiempo real, construida sobre principios de cero confianza para asegurar una seguridad empresarial centrada en la privacidad y preparada para el futuro.