CVE-2025-49144 취약점: Notepad++의 치명적인 권한 상승 결함으로 인한 완전한 시스템 장악
여름철은 온도 상승이 아닌 중요한 사이버 보안 취약점의 증가로 인해 놀랍도록 뜨겁다는 것이 증명되었습니다. 위협 행위자들은 널리 사용되는 소프트웨어와 시스템을 타겟으로 착취 노력을 강화했습니다. 최근 예로는 CVE-2025-6018과 CVE-2025-6019를 포함한 주요 Linux 배포판을 타겟으로 한 두 개의 로컬 권한 상승(LPE) 결함과 SimpleHelp RMM 플랫폼에서 발견된 세 가지 결함 으로, 이들은 더블 공갈 전술을 통해 DragonForce 랜섬웨어를 배포하는 데 활용되었습니다.
이제 새로운 심각한 위협이 등장했습니다. CVE-2025-49144는 Notepad++ 8.8.1 버전에서 발견된 권한 상승 취약점으로, 이진 플랜팅 기술을 통해 공격자가 시스템 수준의 액세스를 달성할 수 있게 합니다. 개념 증명 익스플로잇이 이미 존재함에 따라 수백만 명의 사용자가 완전한 시스템 손상 위험에 노출되었습니다.
취약점 익스플로잇은 가장 보편적인 초기 공격 벡터 중 하나로 남아 있습니다. 2025년까지 공격자들은 초기 접근을 위해 취약점을 작년보다 34% 더 활용하여 보안 침해 사례를 크게 증가시켰습니다. 그 결과, 방어자는 점점 더 공격적인 위협 환경과 보조를 맞추기 위해 적시 탐지 콘텐츠와 고급 위협 사냥 도구에 의지해야 합니다.
SOC Prime 플랫폼에 가입하여 실시간 사이버 위협 인텔리전스를 제공하는 글로벌 활성 위협 피드에 액세스하십시오. 이 피드는 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 고급 위협 탐지를 위한 완전한 제품군을 배경으로 하는 큐레이션된 탐지 알고리즘을 제공합니다. 모든 규칙은 여러 SIEM, EDR 및 데이터 레이크 형식과 호환되며 MITRE ATT&CK® 프레임워크에 매핑됩니다. 또한 각 규칙에는 CTI 링크, 공격 타임라인, 감사 구성, 트라이에이징 권장 사항 및 더 관련성 있는 컨텍스트가 풍부하게 포함되어 있습니다. ‘CVE’ 태그로 필터링된 중요한 취약점에 대한 프로액티브 방어를 위해 전체 탐지 스택을 보려면 탐지 탐색 버튼을 누르십시오.
그 위에 보안 전문가들은 Uncoder AI, 위협 관련 탐지 엔지니어링을 위한 개인 IDE & 솔루션 도우미를 사용하여 위협 조사를 간소화할 수 있습니다. 원시 위협 보고서에서 탐지 알고리즘을 생성하고, 성능 최적화된 쿼리로 빠른 IOC 스윕을 활성화하며, ATT&CK 태그를 예측하고, AI 팁으로 쿼리 코드를 최적화하고, 여러 SIEM, EDR 및 데이터 레이크 언어로 변환합니다.
CVE-2025-49144 분석
방어자는 세계에서 가장 널리 사용되는 텍스트 편집기 중 하나인 Notepad++ v8.8.1에서 새로운 권한 상승 취약점인 CVE-2025-49144를 확인했습니다. CVSS 점수가 7.3으로 평가된 이 중요한 결함은 적들이 NT AUTHORITYSYSTEM으로 권한을 상승시켜 대상 시스템에 대한 완전한 제어 가능성을 제공합니다. 보안 연구원들은 이 취약점을 애플리케이션 역사상 가장 중요한 취약점 중 하나로 여기며, PoC 익스플로잇의 공개는 개인 사용자와 조직 모두에 대한 위험성을 크게 증가시켰습니다.
문제의 핵심은 설치 과정에서 로드되는 바이너리를 안전하게 검증하지 못하는 설치 프로그램의 검색 경로 로직에 있습니다. 이렇게 되면 regsvr32.exe와 같은 신뢰할 수 있는 시스템 파일로 위장된 악성 실행 파일이 설치 프로그램에 의해 조용히 로드될 수 있는 DLL 하이재킹 또는 바이너리 플랜팅의 문이 열립니다. 공격 시퀀스는 상대적으로 간단하며 최소한의 사용자 상호작용을 요구합니다.
초기 공격 단계에서 적들은 regsvr32.exe라는 악성 실행 파일을 만듭니다. 희생자는 일반적으로 소셜 엔지니어링이나 클릭재킹을 통해 정품 Notepad++ 설치 프로그램과 악성 파일을 모두 다운로드하도록 속임수에 빠지게 됩니다. 두 파일은 종종 기본 다운로드 폴더와 같은 동일한 디렉토리에 놓이게 됩니다. 사용자가 설치 프로그램을 실행하면 regsvr32.exe 가 취약한 검색 경로 동작으로 인해 실행되어, 악성 바이너리가 SYSTEM 수준의 권한으로 실행되게 됩니다. 이때 공격자는 완전한 관리 액세스를 얻게 되어, 시스템이 손상됩니다. 이렇게 익스플로잇되면, 위협 행위자가 임의 코드를 실행하고, 보안 도구를 비활성화하고, 네트워크 내에서 좌우로 이동하거나 지속적인 백도어를 심는 것이 가능합니다.
관찰된 캠페인에서는 해커들이 지속성을 유지하고 사후 손상 작업을 수행하기 위해 다양한 도구를 활용했습니다. 이 중에는 명령 태스킹 및 C2 서버에 사용되는 네트워킹 구성 요소인 blghtd가 있으며, 주요 페이로드의 지속적 작동을 보장하기 위해 중단 시 주요 바이너리를 모니터링하고 다시 시작하도록 설계된 감시 유틸리티인 jvnlpe를 배포했습니다. 이니셜라이저 역할을 하여 환경을 설정하고 추가 구성 요소를 배포하는 cisz 모듈도 있었으며, 더 깊은 프로세스 조작을 위해 시스템 수준 상호작용을 위해 맞춤화된 공유 라이브러리인 libguic.so가 주입되었습니다. 목표 환경을 매핑하고 네트워크 데이터를 가로채기 위해 tcpdump, 에다가, openLDAP와 같은 정찰 도구를 사용했습니다. 프로세스 주입을 쉽게 하기 위해 악성 코드를 활성 프로세스에 삽입할 수 있게 하는 유틸리티 dskz 를 사용했습니다. 최종적으로, Go 언어로 작성되고 UPX로 패키징된 리버스 SSH 클라이언트인 ldnet이 사용되어 손상된 시스템에서 원격 액세스를 설정하고 데이터를 외부로 전송하는 데 사용되었습니다.
Notepad++은 일반적으로 높은 위험 애플리케이션으로 간주되지 않지만, 그 광범위한 사용과 신뢰받는 명성으로 인해 공급망 공격의 주요 타겟이 됩니다. 이 권한 상승 취약점의 발견은 기본 보안 관행, 예를 들어 안전한 검색 경로 관리를 무시할 때 심지어는 무해해 보이는 소프트웨어 설치 프로그램도 초래할 수 있는 위험성을 강조합니다.
CVE-2025-49144의 악용이 낮은 복잡성을 가지고 있고 PoC 도구의 공개 가능성 때문에, 보안 팀은 즉시 조치를 취해야 합니다. CVE-2025-49144 완화 조치로써 조직은 취약 경로 참조 결함을 해결한 Notepad++ v8.8.2 이상으로 업그레이드하고, 환경이 완전히 안전해질 때까지 최종 사용자 소프트웨어 설치를 일시적으로 제한해야 합니다. 공격 표면을 줄이려면 설치 경로를 점검하고, 사용자 접근 폴더에서의 쓰기 권한을 제한하며 특히 다운로드와 같은 일반 디렉토리에서 설치 프로그램의 동작을 모니터링하는 것이 매우 중요합니다. 추가 보호를 위해, 보안 팀은 사용자 쓰기 가능한 위치에서의 이진 실행을 차단하고 승인된 디렉토리 외부에서 실행되는 무단 파일, 그리고 모든 실행 파일에 대해 디지털 서명을 검증하도록 AppLocker, WDAC 또는 SRP를 구현해야 합니다. 또한 설치 디렉토리에서 변조 또는 악성 활동을 나타낼 수 있는 의심스러운 파일을 정기적으로 스캔하는 것은 CVE-2025-49144 악용 위험을 최소화하기 위한 추가 보호 계층을 제공합니다. 사이버 위협에서 보안 팀을 보호하고 취약점 악용 위험으로부터 조직의 인프라를 방어하는 SOC Prime은 regsvr32.exe from running outside approved directories, and enforce digital signature verification for all executables. Additionally, regularly scanning installer directories for suspicious files that may indicate tampering or malicious activity provides an additional protection layer to minimize the risks of CVE-2025-49144 exploitation. To help security teams outscale cyber threats and safeguard the organization’s infrastructure against vulnerability exploitation risks, SOC Prime offers a 포괄적인 제품군 을 제공합니다. AI, 자동화 기능 및 실시간 CTI로 지원되며 제로 트러스트 원칙에 기반하여 개인정보 우선 및 미래 지향적 기업 보안을 보장합니다.
