Una vulnerabilitat de segrest de DLL recentment descoberta a Notepad++, el popular editor de codi font, podria permetre que els atacants executin codi arbitrari a l’ordinador d’una víctima.

Establert com a CVE-2025-56383, el defecte existeix a la versió 8.8.3 i pot afectar totes les versions instal·lades del programari, la qual cosa posa en risc milions d’usuaris.

La vulnerabilitat permet que un atacant local aconsegueixi l’execució de codi introduint un fitxer DLL maliciós en una ubicació on l’aplicació la carregarà. Aquest tipus d’atac mina la integritat de l’aplicació i es pot fer servir per establir persistència o escalar privilegis en un sistema compromès.

S‘ha publicat l‘explotador de PoC

El segrest de DLL (Dynamic Link Library) explota la la manera com les aplicacions de Windows cerquen i carreguen les biblioteques necessàries. Si una aplicació cerca una DLL sense especificar una ruta completa, pot buscar en diversos directoris en un ordre predefinit.

Un atacant pot col·locar una DLL maliciosa amb el mateix nom que una de legítima en un directori que es busca abans de la ubicació real de la biblioteca. Quan l’usuari inicia l’aplicació, la DLL maliciosa es carrega i s’executa en lloc de la prevista.

En el cas de Notepad++, la vulnerabilitat es pot explotar atacant les DLL associades als seus complements. Segons la prova de concepte, un atacant pot substituir un fitxer de complement, com ara NppExport.dll, situat al directori Notepad++\plugins\NppExport\, amb una DLL maliciosa creada a mida.

Per passar desapercebut i assegurar-se que l’aplicació continua funcionant normalment, l’atacant pot canviar el nom de la DLL original (per exemple, a original-NppExport.dll) i fer que el substitut maliciós hi reenviï totes les crides de funció legítimes.

Aquesta tècnica, coneguda com a proxy, fa que el comportament de l’aplicació sembli fluid per a l’usuari mentre la càrrega útil maliciosa s’executa en segon pla.

L’exemple proporcionat demostra aquest reemplaçament de fitxers. El fitxer maliciós NppExport.dll és significativament més petit que el original-NppExport.dll, i indica que conté un codi diferent.

En llançar-se el Notepad++.exe, l’aplicació carrega la DLL maliciosa, cosa que provoca l’execució del codi de l’atacant.

Es va demostrar una acció reeixida amb l’aparició d’un quadre de missatge de prova, cosa que va confirmar que el codi arbitrari s’havia executat amb els mateixos permisos que l’usuari que executava Notepad++.

Mitigacions

L’amenaça principal d’aquesta vulnerabilitat és l’execució de codi local. Un atacant que ja ha obtingut accés inicial a un sistema mitjançant programari maliciós, pesca o altres mitjans pot fer servir aquesta falla per establir la persistència.

En segrestar una DLL en una aplicació d’ús comú com ara el Notepad++, el codi de l’atacant s’executarà cada vegada que l’usuari obri l’editor, cosa que garanteix que el programari maliciós sobreviu als reinicis del sistema.

Tot i que la demostració es va dur a terme amb el Notepad++ v8.8.3 instal·lat a través de la versió oficial npp.8.8.3.Installer.x64.exe, el problema subjacent rau en la manera com l’aplicació carrega els seus components, cosa que suggereix que qualsevol versió instal·lada podria ser vulnerable.

Actualment, no hi ha cap pedaç oficial dels desenvolupadors de Notepad++ per solucionar-ho. Al CVE-2025-56383 es recomana als usuaris que tinguin precaució i s’assegurin que els seus sistemes no tinguin infeccions prèvies.

Els administradors de sistemes haurien de pensar a implementar la supervisió de la integritat dels fitxers als directoris de les aplicacions per detectar modificacions no autoritzades.

Fins que no es publiqui una correcció, els usuaris només haurien de descarregar Notepad++ de fonts oficials i anar amb compte amb qualsevol comportament inesperat de l’aplicació.