Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema

La stagione estiva si è rivelata allarmantemente calda, non a causa dell’aumento delle temperature, ma a causa di un aumento delle vulnerabilità critiche di cybersecurity. Gli attori delle minacce hanno intensificato gli sforzi di sfruttamento, prendendo di mira software e sistemi ampiamente utilizzati. Esempi recenti includono CVE-2025-6018 e CVE-2025-6019, due falle di escalation dei privilegi locali (LPE) che prendono di mira le principali distribuzioni Linux, così come un trio di falle nella piattaforma SimpleHelp RMM che sono state sfruttate per distribuire il ransomware DragonForce attraverso tattiche di doppia estorsione.

Ora, è emersa una nuova minaccia grave. CVE-2025-49144 è una vulnerabilità di escalation dei privilegi scoperta nella Notepad++ versione 8.8.1, che consente agli attaccanti di ottenere accesso di livello SYSTEM tramite una tecnica di binary planting. Con un exploit proof-of-concept già in circolazione, milioni di utenti sono ora esposti al rischio di un compromesso completo del sistema.

Lo sfruttamento delle vulnerabilità rimane uno dei vettori di attacco iniziali più comuni. Finora, nel 2025, gli attaccanti hanno sfruttato le vulnerabilità per ottenere l’accesso iniziale 34% in più rispetto all’anno precedente, portando a un significativo aumento delle violazioni di sicurezza. Di conseguenza, i difensori devono fare affidamento su contenuti di rilevamento tempestivi e strumenti avanzati di minaccia-hunting per tenere il passo con un panorama delle minacce sempre più aggressivo.

Iscriviti alla piattaforma SOC Prime per accedere al feed delle minacce attive globali, che offre intelligence in tempo reale sulle minacce informatiche e algoritmi di rilevamento curati supportati da un insieme completo di prodotti per l’ingegneria del rilevamento basata su AI, threat hunting automatizzato e rilevamento avanzato delle minacce. Tutte le regole sono compatibili con diversi formati SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK® . Inoltre, ogni regola è arricchita con CTI link, cronologie degli attacchi, configurazioni di audit, raccomandazioni di triage e più contesto rilevante. Premi il pulsante Esplora Rilevamenti per vedere l’intero stack di rilevamento per la difesa proattiva contro le vulnerabilità critiche filtrate per tag “CVE”.

Esplora Rilevamenti

Inoltre, gli esperti di sicurezza potrebbero semplificare l’indagine sulle minacce utilizzando Uncoder AI, un IDE privato e co-pilota per l’ingegneria del rilevamento informato sulle minacce. Genera algoritmi di rilevamento dai report delle minacce grezze, abilita rapidi sweep di IOC in query ottimizzate per le prestazioni, predici i tag ATT&CK, ottimizza il codice delle query con suggerimenti AI e traducilo in diverse lingue SIEM, EDR e Data Lake.

Analisi di CVE-2025-49144

I difensori hanno identificato CVE-2025-49144, una nuova vulnerabilità di escalation dei privilegi in Notepad++ v8.8.1, uno dei più utilizzati editor di testo al mondo. La falla critica con un punteggio CVSS di 7.3 consente agli avversari di elevare i privilegi a NT AUTHORITYSYSTEM, potenzialmente ottenendo il controllo completo su un sistema target. I ricercatori di sicurezza considerano questa vulnerabilità tra le più critiche nella storia dell’applicazione, con il rilascio pubblico di un exploit PoC che aumenta significativamente il rischio per entrambi gli utenti singoli e le organizzazioni.

Al centro del problema c’è una debolezza nella logica del percorso di ricerca dell’installer, che non riesce a convalidare in modo sicuro il binario che carica durante il processo di installazione. Questo apre la porta all’hijacking DLL o al binary planting, dove un eseguibile malevolo che si maschera come un file di sistema attendibile, come regsvr32.exe, può essere caricato silenziosamente dall’installer. La sequenza di attacco è relativamente semplice e richiede un’interazione minima da parte dell’utente. 

Nella fase iniziale dell’attacco, gli avversari creano un eseguibile malevolo chiamato regsvr32.exe. La vittima viene ingannata, tipicamente attraverso ingegneria sociale o clickjacking, a scaricare sia l’installer legittimo di Notepad++ che il file malevolo. Entrambi i file vengono posizionati nella stessa directory, spesso nella cartella predefinita dei Download. Quando l’utente esegue l’installer, carica inconsapevolmente il maligno regsvr32.exe a causa del comportamento vulnerabile del percorso di ricerca. Il binario malevolo viene quindi eseguito con privilegi di livello SYSTEM, concedendo all’attaccante pieno accesso amministrativo. Una volta sfruttato, il sistema è praticamente compromesso, consentendo agli attori delle minacce di eseguire codice arbitrario, disabilitare strumenti di sicurezza, muoversi lateralmente all’interno di una rete o impiantare backdoor persistenti.

Nelle campagne osservate, gli hacker hanno utilizzato un diverso set di strumenti per mantenere la persistenza ed eseguire operazioni post-compromissione. Tra questi vi era blghtd, un componente di networking usato per l’assegnazione dei compiti e server C2. Per garantire il funzionamento continuo dei payload core, hanno distribuito jvnlpe, un’utility di watchdog progettata per monitorare e rilanciare i binari chiave se interrotti. Il modulo cisz ha servito come inizializzatore, responsabile dell’allestimento dell’ambiente e del dispiegamento di componenti aggiuntivi. Per una manipolazione più profonda dei processi, gli attaccanti hanno iniettato libguic.so, una libreria condivisa su misura per l’interazione a livello di sistema. Per mappare l’ambiente target e intercettare i dati di rete, hanno impiegato strumenti di ricognizione come tcpdump, nbtscan, e openLDAP. L’utilità dskz ha facilitato l’iniezione dei processi, abilitando l’inserimento di codice malevolo nei processi attivi. Infine, ldnet, un client SSH inverso scritto in Go e compresso con UPX, è stato usato per stabilire l’accesso remoto ed esfiltrare dati dai sistemi compromessi.

Sebbene Notepad++ non sia tipicamente visto come un’applicazione ad alto rischio, il suo uso diffuso e la reputazione di fiducia lo rendono un bersaglio di prim’ordine per gli attacchi alla catena di fornitura. La scoperta di questa vulnerabilità di escalation dei privilegi mette in evidenza i rischi posti anche dai software installer apparentemente innocui quando vengono trascurate pratiche di sicurezza di base, come la gestione sicura del percorso di ricerca.

Data la bassa complessità dello sfruttamento di CVE-2025-49144 e la disponibilità pubblica di strumenti PoC, si esorta i team di sicurezza a prendere azioni immediate. Come misure di mitigazione per CVE-2025-49144, le organizzazioni dovrebbero aggiornare alla versione Notepad++ v8.8.2 o successiva, che risolve il problema del riferimento al percorso non sicuro, e temporaneamente limitare le installazioni software degli utenti finali fino a quando l’ambiente non sarà completamente sicuro. Per ridurre la superficie di attacco, è fondamentale controllare i percorsi di installazione, limitare i permessi di scrittura nelle cartelle accessibili agli utenti e monitorare il comportamento dell’installer, specialmente nelle directory comuni come i Download. Per una protezione aggiuntiva, i team di sicurezza dovrebbero implementare AppLocker, WDAC o SRP per bloccare l’esecuzione di binari da posizioni scrivibili dagli utenti, prevenire l’esecuzione di file non autorizzati come regsvr32.exe fuori dalle directory approvate, e imporre la verifica della firma digitale per tutti gli eseguibili. Inoltre, eseguire regolarmente la scansione delle directory degli installer per file sospetti che potrebbero indicare manomissioni o attività malevola offre un ulteriore strato di protezione per minimizzare i rischi di sfruttamento di CVE-2025-49144. Per aiutare i team di sicurezza a superare le minacce informatiche e proteggere l’infrastruttura dell’organizzazione dai rischi di sfruttamento delle vulnerabilità, SOC Prime offre un insieme completo di prodotti supportato da capacità AI, funzionalità automatizzate e CTI in tempo reale, e costruito su principi di zero-trust per garantire una sicurezza aziendale incentrata sulla privacy e a prova di futuro.