CVE-2025-49144 Vulnerability: Critical Privilege Escalation Flaw in Notepad++ Leads to Full System Takeover
夏の季節は気温の上昇ではなく、重大なサイバーセキュリティの脆弱性の急増により驚くほど暑いことが確認されています。脅威アクターは、広く使用されているソフトウェアやシステムを対象とした搾取活動を強化しています。最近の例には CVE-2025-6018 と CVE-2025-6019、主要なLinuxディストリビューションを狙った2つのローカル権限昇格(LPE)脆弱性、および SimpleHelp RMMプラットフォームの3つの脆弱性 があり、これらは二重脅迫戦術を通じてDragonForceランサムウェアの展開に利用されました。
現在、新たな重大な脅威が出現しています。CVE-2025-49144はNotepad++バージョン8.8.1で発見された権限昇格の脆弱性で、バイナリプランティング技術を使用してSYSTEMレベルのアクセスを達成することが攻撃者に可能になります。既に実証済みの概念コードも出回っており、何百万人ものユーザーが完全なシステム侵害のリスクにさらされています。
脆弱性の搾取は、最も一般的な初期攻撃ベクターの1つであり続けています。2025年これまでのところ、攻撃者は初期アクセスを得るために脆弱性を 前年比34%多く 活用しており、セキュリティ侵害が大幅に増加しています。その結果として、防御者はタイムリーな検出コンテンツと高度な脅威ハンティングツールに依存して、次第に攻撃的になる脅威の状況に追いつく必要があります。
SOC Primeプラットフォームにサインアップ し、完全な製品スイートでAIによる検出エンジニアリング、自動脅威ハンティング、高度な脅威検出をサポートする高精度のリアルタイムのサイバー脅威インテリジェンスとキュレーションされた検出アルゴリズムを提供するグローバルアクティブ脅威フィードにアクセスしてください。すべてのルールは、複数のSIEM、EDR、およびデータレイク形式に対応しており、 MITRE ATT&CK® フレームワークにマッピングされています。さらに、各ルールには CTI リンク、攻撃タイムライン、監査構成、トリアージ推奨事項、その他関連するコンテキストが充実して付加されています。「CVE」タグでフィルタリングされた重大な脆弱性に対抗するためのプロアクティブな防御のために全体の検出スタックを見るには Explore Detections ボタンを押してください。
それに加えて、セキュリティ専門家は Uncoder AIを使用して脅威の調査を整理するかもしれません。脅威情報を基にした検出エンジニアリング用のプライベートIDE&コーパイロットで、脅威レポートから検出アルゴリズムを生成し、IOCsの迅速なスウィープを性能最適化されたクエリに変換し、ATT&CKタグを予測し、AIのヒントでクエリコードを最適化し、複数のSIEM、EDRやデータレイク言語にわたって翻訳します。
CVE-2025-49144 の分析
防御者はCVE-2025-49144という、新しい 権限昇格 脆弱性をNotepad++ v8.8.1という、世界で最も広く使用されているテキストエディタの1つにおいて特定しました。この 致命的な欠陥 はCVSSスコアが7.3で、攻撃者が権限をNT AUTHORITYSYSTEMに昇格させ、ターゲットシステムに対する完全な制御を潜在的に取得する可能性を与えます。このアプリケーションの歴史の中でも最も重大な脆弱性の1つと見なされており、概念実証( PoC)のエクスプロイトが公開されたことで、個々のユーザーおよび企業のリスクが大幅に増加しています。
問題の核心には、インストーラーの検索パスロジックにおける弱点があり、インストールプロセス中にロードされるバイナリを安全に検証することができません。このため、信頼されたシステムファイル、例えばregsvr32.exeとして偽装された悪意ある実行可能ファイルがインストーラーによって静かにロードされる、DLLハイジャックまたはバイナリプランティングへの道が開かれます。攻撃シーケンスは比較的単純で、ユーザーの最小限の操作しか必要ありません。
初期攻撃段階では、攻撃者はregsvr32.exeと名付けた悪意ある実行ファイルを作成します。被害者は通常、社会的技術やクリックジャッキングによってだまされ、正当なNotepad++インストーラーと悪意のあるファイルの両方をダウンロードします。どちらのファイルも同じディレクトリ、通常はデフォルトのダウンロードフォルダに配置されます。ユーザーがインストーラーを実行するとき、 regsvr32.exe を脆弱な検索パスの動作により知らずしてロードします。その後、悪意あるバイナリがシステムレベルの権限で実行され、攻撃者に完全な管理者アクセスを許可します。ひとたび搾取されると、システムは事実上脅威アクターにより不正に操作され、任意のコードを実行したり、セキュリティツールを無効にしたり、ネットワーク内を横断したり、永続的なバックドアを植え付けたりすることが可能になります。
観察されたキャンペーンでは、ハッカーは持続性を維持し、侵害後の操作を実行するために多様なツールセットを利用しました。その中には、コマンドタスキングおよびC2サーバーに使用されるネットワーキングコンポーネントである blghtdがありました。コアペイロードの継続的な稼働を保証するために、彼らはキーバイナリが中断された場合に監視し再開するウォッチドッグユーティリティの jvnlpeをデプロイしました。 cisz モジュールは環境のセットアップと追加コンポーネントのデプロイを担当するイニシャライザとして機能しました。より深いプロセス操作のために、攻撃者はシステムレベルの相互作用に特化した共有ライブラリ libguic.soをインジェクトしました。ターゲット環境をマップしネットワークデータを傍受するために、彼らは次のような偵察ツールを使用しました。 tcpdump, 、、 、および、および 。 ユーティリティはプロセスインジェクションを容易にし、アクティブなプロセスに悪意あるコードを挿入することを可能にしました。最後に、 ldnetはGoで書かれたリバースSSHクライアントで、UPXでパックされ、リモートアクセスを確立し侵害されたシステムからのデータを流出させるために使用されました。
Notepad++は通常、高リスクのアプリケーションとは見なされませんが、その広範な使用と信頼された評判はサプライチェーン攻撃の主要なターゲットにしています。この権限昇格の脆弱性の発見は、セキュアな検索パスの処理などの基本的なセキュリティプラクティスを見過ごした場合であっても、見た目には無害なソフトウェアインストーラーによって引き起こされるリスクを際立たせています。
CVE-2025-49144の搾取が容易であり PoCツールが公開されていることから、セキュリティチームは直ちに行動を起こすことが求められます。CVE-2025-49144の緩和策として、組織はインストールパスの監査、ユーザーがアクセスできるフォルダでの書き込み権限の制限、特にダウンロードなどの共通ディレクトリのインストーラーの動作の監視を行わなければなりません。追加の保護のために、セキュリティチームはAppLocker、WDAC、SRPを導入して、ユーザーが書き込み可能な場所からのバイナリの実行を禁止し、 regsvr32.exe のような承認されていないディレクトリ外のファイルの実行を防ぎ、すべての実行可能ファイルのデジタル署名の検証を強制する必要があります。さらに、脆弱性の搾取リスクを最小限に抑えるために、改ざんまたは悪意ある活動を示す疑わしいファイルをインストーラーディレクトリで定期的にスキャンすることで追加の保護層を提供します。サイバー脅威をアウトスケールし、脆弱性の搾取リスクから組織のインフラストラクチャを守るために、SOC PrimeはAI、 包括的な製品スイート によって支援される自動化された機能とリアルタイムCTIを提供し ゼロトラスト の原則に基づいて、プライバシーファーストで将来にわたる安全性を確保する企業セキュリティを提供します。
