CVE-2025-49144 Vulnerabilidade: Falha Crítica de Escalonamento de Privilégios no Notepad++ Leva à Tomada Completa do Sistema
A temporada de verão revelou-se alarmantemente quente, não pelo aumento das temperaturas, mas devido a um aumento nas vulnerabilidades críticas de cibersegurança. Os agentes de ameaça intensificaram os esforços de exploração, visando softwares e sistemas amplamente utilizados. Exemplos recentes incluem CVE-2025-6018 e CVE-2025-6019, duas falhas de escalonamento de privilégios locais (LPE) que afetam as principais distribuições Linux, bem como um trio de falhas na plataforma SimpleHelp RMM que foram aproveitadas para implantar o ransomware DragonForce através de táticas de dupla extorsão.
Agora, uma nova e grave ameaça surgiu. CVE-2025-49144 é uma vulnerabilidade de escalonamento de privilégios descoberta no Notepad++ versão 8.8.1, que permite aos atacantes alcançar acesso ao nível SYSTEM por meio de uma técnica de plantação de binários. Com uma prova de conceito de exploração já em circulação, milhões de usuários estão agora expostos ao risco de comprometimento total do sistema.
A exploração de vulnerabilidades continua a ser um dos vetores de ataque inicial mais comuns. Até agora, em 2025, os atacantes aproveitaram-se de vulnerabilidades para acesso inicial 34% mais do que no ano anterior, levando a um aumento significativo nas violações de segurança. Como resultado, os defensores devem contar com conteúdo de detecção oportuno e ferramentas avançadas de caça a ameaças para acompanhar um cenário de ameaças cada vez mais agressivo.
Inscreva-se na Plataforma SOC Prime para acessar o feed global de ameaças ativas, que oferece inteligência de ameaça cibernética em tempo real e algoritmos de detecção curados apoiados por um conjunto de produtos completo para engenharia de detecção movida por IA, caça de ameaças automatizada e detecção avançada de ameaças. Todas as regras são compatíveis com vários formatos SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK® . Além disso, cada regra é enriquecida com CTI links, cronogramas de ataque, configurações de auditoria, recomendações de triagem e mais contextos relevantes. Pressione o botão Explore Detections para ver toda a pilha de detecção para defesa proativa contra vulnerabilidades críticas filtradas pela tag “CVE”.
Além disso, especialistas em segurança podem simplificar a investigação de ameaças usando o Uncoder AI, um IDE privado & co-piloto para engenharia de detecção informada por ameaças. Gere algoritmos de detecção a partir de relatórios de ameaças brutos, habilite varreduras rápidas de IOC em consultas otimizadas para desempenho, preveja tags ATT&CK, otimize o código de consulta com dicas de IA e traduza em várias linguagens SIEM, EDR e Data Lake.
Análise CVE-2025-49144
Os defensores identificaram CVE-2025-49144, uma nova vulnerabilidade de escalonamento de privilégio no Notepad++ v8.8.1, um dos editores de texto mais utilizados no mundo. A falha crítica com um score CVSS de 7.3 permite que os adversários escalem privilégios para NT AUTHORITYSYSTEM, potencialmente ganhando controle total sobre um sistema alvo. Pesquisadores de segurança consideram essa vulnerabilidade uma das mais críticas na história do aplicativo, com a liberação pública de uma exploração PoC aumentando significativamente o risco tanto para usuários individuais quanto para organizações.
No cerne do problema está uma fraqueza na lógica de busca do instalador, que falha em validar com segurança o binário que carrega durante o processo de instalação. Isso abre a porta para o sequestro de DLL ou plantação de binários, onde um executável malicioso mascarado como um arquivo de sistema confiável, como regsvr32.exe, pode ser carregado silenciosamente pelo instalador. A sequência de ataque é relativamente simples e requer mínima interação do usuário.
Na fase inicial de ataque, os adversários criam um executável malicioso chamado regsvr32.exe. A vítima é enganada, tipicamente através de engenharia social ou clickjacking, a baixar tanto o instalador legítimo do Notepad++ quanto o arquivo malicioso. Ambos os arquivos são colocados no mesmo diretório, muitas vezes a pasta padrão de Downloads. Quando o usuário executa o instalador, ele carrega inadvertidamente o malicioso regsvr32.exe devido ao comportamento vulnerável de busca de caminho. O binário malicioso é então executado com privilégios de nível SYSTEM, concedendo ao atacante acesso administrativo completo. Uma vez explorado, o sistema é efetivamente comprometido, permitindo que agentes de ameaça executem código arbitrário, desativem ferramentas de segurança, movam-se lateralmente em uma rede ou implantem backdoors persistentes.
Nas campanhas observadas, os hackers utilizaram um conjunto diversificado de ferramentas para manter a persistência e executar operações de pós-comprometimento. Entre elas estava blghtd, um componente de rede usado para tarefas de comando e servidores C2. Para garantir a operação contínua dos payloads principais, eles implantaram jvnlpe, uma utilidade de watchdog projetada para monitorar e relançar binários chave se interrompidos. O módulo cisz serviu como inicializador, responsável por configurar o ambiente e implantar componentes adicionais. Para uma manipulação mais profunda dos processos, os atacantes injetaram libguic.so, uma biblioteca compartilhada adaptada para interação a nível de sistema. Para mapear o ambiente alvo e interceptar dados de rede, empregaram ferramentas de reconhecimento como tcpdump, nbtscan, e openLDAP. A utilidade dskz facilitou a injeção de processos, permitindo a inserção de código malicioso em processos ativos. Finalmente, ldnet, um cliente SSH reverso escrito em Go e embutido com UPX, foi usado para estabelecer acesso remoto e exfiltrar dados de sistemas comprometidos.
Embora o Notepad++ não seja tipicamente visto como uma aplicação de alto risco, seu uso generalizado e reputação confiável o tornam um alvo principal para ataques à cadeia de suprimentos. A descoberta desta vulnerabilidade de escalonamento de privilégios destaca os riscos representados até mesmo por instaladores de software aparentemente benignos quando práticas básicas de segurança, como a manipulação segura de caminhos de busca, são negligenciadas.
Dada a baixa complexidade de explorar CVE-2025-49144 e a disponibilidade pública de ferramentas PoC, as equipes de segurança são instadas a tomar medidas imediatas. Como medidas de mitigação para CVE-2025-49144, as organizações devem atualizar para o Notepad++ v8.8.2 ou posterior, que resolve a falha de referência de caminho inseguro, e restringir temporariamente as instalações de software por usuários finais até que o ambiente esteja totalmente seguro. Para reduzir a superfície de ataque, é crucial auditar os caminhos de instalação, limitar permissões de escrita em pastas acessíveis ao usuário e monitorar o comportamento do instalador, especialmente em diretórios comuns como Downloads. Para proteção adicional, as equipes de segurança devem implementar AppLocker, WDAC ou SRP para bloquear a execução de binários de locais graváveis por usuários, impedir arquivos não autorizados como regsvr32.exe de serem executados fora de diretórios aprovados e impor a verificação de assinatura digital para todos os executáveis. Além disso, escanear regularmente diretórios de instaladores em busca de arquivos suspeitos que possam indicar adulteração ou atividade maliciosa fornece uma camada adicional de proteção para minimizar os riscos de exploração do CVE-2025-49144. Para ajudar as equipes de segurança a escalar ameaças cibernéticas e proteger a infraestrutura da organização contra riscos de exploração de vulnerabilidades, a SOC Prime oferece um conjunto completo de produtos apoiado por IA, capacidades automatizadas e CTI em tempo real, e construído sobre princípios de confiança zero para garantir uma segurança empresarial com foco na privacidade e à prova de futuro.
