Vulnérabilité CVE-2025-49144 : Faille critique d’élévation de privilèges dans Notepad++ menant à une prise de contrôle complète du système
La saison estivale s’est révélée alarmante par sa chaleur, non pas à cause des températures en hausse, mais en raison d’une augmentation des vulnérabilités critiques en cybersécurité. Les acteurs malveillants ont intensifié leurs efforts d’exploitation, ciblant des logiciels et systèmes largement utilisés. Des exemples récents incluent CVE-2025-6018 et CVE-2025-6019, deux failles d’élévation locale de privilèges (LPE) ciblant les principales distributions Linux, ainsi qu’un trio de failles dans la plateforme RMM SimpleHelp qui ont été exploitées pour déployer le ransomware DragonForce via des tactiques de double extorsion.
Désormais, une nouvelle et grave menace a émergé. CVE-2025-49144 est une vulnérabilité d’élévation de privilèges découverte dans Notepad++ version 8.8.1, qui permet aux attaquants d’accéder au niveau SYSTEM via une technique de plantage de binaires. Avec un exploit de preuve de concept déjà dans la nature, des millions d’utilisateurs sont maintenant exposés au risque de compromission complète du système.
L’exploitation des vulnérabilités reste l’un des vecteurs d’attaque initiaux les plus courants. Jusqu’à présent en 2025, les attaquants ont exploité les vulnérabilités pour un accès initial 34% de plus que l’année précédente, entraînant une augmentation significative des violations de sécurité. En conséquence, les défenseurs doivent compter sur des contenus de détection opportuns et des outils avancés de recherche de menaces pour suivre le rythme d’un paysage de menaces de plus en plus agressif.
Inscrivez-vous à la plateforme SOC Prime pour accéder au flux mondial de menaces actives, qui offre des renseignements sur les menaces cybernétiques en temps réel et des algorithmes de détection sélectionnés, soutenus par une suite de produits complète pour l’ingénierie de détection alimentée par l’IA, la recherche automatisée de menaces, et la détection avancée de menaces. Toutes les règles sont compatibles avec plusieurs formats SIEM, EDR et Data Lake et mappées au cadre MITRE ATT&CK® . De plus, chaque règle est enrichie de CTI liens, de chronologies d’attaques, de configurations d’audit, de recommandations de triage et d’autres contextes pertinents. Appuyez sur le bouton Explorer les détections pour voir l’ensemble du stack de détections pour une défense proactive contre les vulnérabilités critiques filtrées par le tag “CVE”.
De plus, les experts en sécurité peuvent rationaliser l’enquête sur les menaces en utilisant Uncoder AI, un IDE privé & co-pilote pour l’ingénierie de détection informée par les menaces. Générez des algorithmes de détection à partir de rapports de menaces bruts, permettez des balayages IOC rapides dans des requêtes optimisées pour la performance, prédisez les tags ATT&CK, optimisez le code de requête avec des conseils de l’IA, et traduisez-le dans plusieurs langages SIEM, EDR et Data Lake.
Analyse de CVE-2025-49144
Les défenseurs ont identifié CVE-2025-49144, une nouvelle vulnérabilité d’élévation de privilèges dans Notepad++ v8.8.1, l’un des éditeurs de texte les plus utilisés au monde. La faille critique avec un score CVSS de 7.3 permet aux adversaires d’escalader les privilèges vers NT AUTHORITYSYSTEM, potentiellement prenant le contrôle total d’un système cible. Les chercheurs en sécurité considèrent cette vulnérabilité comme l’une des plus critiques dans l’histoire de l’application, avec la publication publique d’un exploit PoC augmentant considérablement le risque pour les utilisateurs individuels et les organisations.
Au cœur du problème se trouve une faiblesse dans la logique de chemin de recherche de l’installateur, qui échoue à valider de manière sécurisée le binaire qu’il charge lors du processus d’installation. Cela ouvre la porte au détournement de DLL ou à la plantation de binaires, où un exécutable malveillant se faisant passer pour un fichier système de confiance, tel que regsvr32.exe, peut être chargé silencieusement par l’installateur. La séquence d’attaque est relativement simple et nécessite une interaction minimale de l’utilisateur.
À l’étape initiale de l’attaque, les adversaires créent un exécutable malveillant nommé regsvr32.exe. La victime est trompée, généralement par ingénierie sociale ou clickjacking, pour télécharger à la fois l’installateur légitime de Notepad++ et le fichier malveillant. Les deux fichiers sont placés dans le même répertoire, souvent le dossier Téléchargements par défaut. Lorsque l’utilisateur exécute l’installateur, il charge sans le savoir le regsvr32.exe malveillant en raison du comportement vulnérable du chemin de recherche. Le binaire malveillant est alors exécuté avec des privilèges SYSTEM, accordant à l’attaquant un accès administratif complet. Une fois exploité, le système est effectivement compromis, permettant aux acteurs malveillants de faire fonctionner du code arbitraire, de désactiver les outils de sécurité, de se déplacer latéralement dans un réseau ou d’implanter des portes dérobées persistantes.
Dans les campagnes observées, les pirates ont utilisé une panoplie d’outils pour maintenir la persistance et exécuter des opérations après compromission. Parmi eux était blghtd, un composant réseau utilisé pour le commandement et la gestion des serveurs de C2. Pour assurer le fonctionnement continu des charges utiles principales, ils ont déployé jvnlpe, une utilité de surveillance conçue pour surveiller et relancer les binaires clés en cas d’interruption. Le module cisz servait d’initialisateur, responsable de la configuration de l’environnement et du déploiement de composants supplémentaires. Pour une manipulation plus poussée des processus, les attaquants ont injecté libguic.so, une bibliothèque partagée adaptée pour l’interaction au niveau du système. Pour cartographier l’environnement cible et intercepter les données réseau, ils ont utilisé des outils de reconnaissance tels que tcpdump, nbtscan, et openLDAP. L’utilité dskz a facilité l’injection de processus, permettant l’insertion de code malveillant dans des processus actifs. Enfin, ldnet, un client SSH inversé écrit en Go et compressé avec UPX, a été utilisé pour établir un accès à distance et exfiltrer des données des systèmes compromis.
Bien que Notepad++ ne soit généralement pas considéré comme une application à haut risque, son utilisation répandue et sa réputation de confiance en font une cible privilégiée pour les attaques de la chaîne d’approvisionnement. La découverte de cette vulnérabilité d’élévation de privilèges souligne les risques posés par même des installateurs logiciels apparemment bénins lorsque des pratiques de sécurité de base, telles que la gestion sécurisée des chemins de recherche, sont négligées.
Étant donné la faible complexité d’exploitation de CVE-2025-49144 et la disponibilité publique des outils PoC, les équipes de sécurité sont exhortées à prendre des mesures immédiates. En tant que mesures d’atténuation pour CVE-2025-49144, les organisations doivent mettre à jour vers Notepad++ v8.8.2 ou version ultérieure, qui résout le défaut de référence de chemin peu sûr, et restreindre temporairement les installations logicielles des utilisateurs finaux jusqu’à ce que l’environnement soit entièrement sécurisé. Pour réduire la surface d’attaque, il est crucial d’auditer les chemins d’installation, de limiter les permissions d’écriture dans les dossiers accessibles par les utilisateurs et de surveiller le comportement des installateurs, surtout dans les répertoires courants comme Téléchargements. Pour une protection supplémentaire, les équipes de sécurité doivent mettre en œuvre AppLocker, WDAC ou SRP pour bloquer l’exécution des binaires à partir de localisations accessibles en écriture par les utilisateurs, empêcher les fichiers non autorisés comme regsvr32.exe de fonctionner en dehors des répertoires approuvés, et appliquer la vérification des signatures numériques pour tous les exécutables. De plus, scanner régulièrement les répertoires des installateurs à la recherche de fichiers suspects pouvant indiquer une falsification ou une activité malveillante offre une couche de protection supplémentaire pour réduire les risques d’exploitation de CVE-2025-49144. Pour aider les équipes de sécurité à surmonter les menaces cybernétiques et à protéger l’infrastructure organisationnelle contre les risques d’exploitation des vulnérabilités, SOC Prime propose une suite de produits complète soutenue par l’IA, des capacités automatisées et CTI en temps réel, et construite sur des principes zero-trust pour assurer une sécurité d’entreprise priorisant la confidentialité et résiliente dans le temps.
