Una vulnerabilidad de secuestro de DLL recientemente descubierta en Notepad++,
el popular editor de código fuente, podría permitir a los atacantes ejecutar
código arbitrario en el equipo de la víctima.
Identificada como
CVE-2025-56383, la falla existe en la versión 8.8.3 y potencialmente afecta a todas
las versiones instaladas del software, poniendo en riesgo a millones de
usuarios.
La vulnerabilidad permite a un atacante local ejecutar código instalando un
archivo DLL malicioso en la ubicación donde la aplicación lo cargará. Este
tipo de ataque socava la integridad de la aplicación y puede utilizarse para
establecer persistencia o escalar privilegios en un sistema comprometido.
Exploit PoC publicado
El secuestro de DLL (DLL hijacking) explota la forma en que las aplicaciones de Windows buscan
y cargan las bibliotecas necesarias. Si una aplicación busca una DLL sin
especificar una ruta completa, puede buscar en varios directorios en un orden
predefinido.
Un atacante puede colocar una DLL maliciosa con el mismo nombre que una
legítima en un directorio que se busca antes que en la ubicación real de la
biblioteca. Cuando el usuario inicia la aplicación, se carga y ejecuta la DLL
maliciosa en lugar de la deseada.
En el caso de Notepad++, la vulnerabilidad puede explotarse atacando las DLL
asociadas a sus plugins. Según la prueba de concepto, un atacante puede
reemplazar un archivo de plugin, como NppExport.dll, ubicado en el
directorio Notepad++\plugins\NppExport\, con una DLL maliciosa
personalizada.
Para pasar desapercibido y garantizar que la aplicación siga funcionando con
normalidad, el atacante puede cambiar el nombre de la DLL original (por
ejemplo, a original-NppExport.dll) y hacer que la DLL maliciosa reenvíe
todas las llamadas a funciones legítimas.
Esta técnica, conocida como proxy, hace que el comportamiento de la
aplicación parezca fluido para el usuario mientras la carga maliciosa se
ejecuta en segundo plano.
El ejemplo proporcionado demuestra esta sustitución de archivo. La DLL
maliciosa NppExport.dll es significativamente más pequeña que la
NppExport.dll original, lo que indica que contiene código diferente. Al
ejecutar Notepad++.exe, la aplicación carga la DLL maliciosa, lo que
provoca la ejecución del código del atacante.
El investigador de seguridad zer0t0 ha publicado una demostración de prueba de concepto en GitHub, que muestra cómo se puede explotar la vulnerabilidad utilizando el complemento NppExport.dll.
Se demostró un exploit exitoso mediante la aparición de un cuadro de
mensaje de prueba que confirmaba que el código arbitrario se ejecutaba con los
mismos permisos que el usuario que ejecutaba Notepad++.
Mitigaciones
La principal amenaza de esta vulnerabilidad es la ejecución de código
local.
Un atacante que ya haya obtenido acceso inicial a un sistema mediante malware,
phishing u otros medios puede usar esta falla para establecer persistencia.
Al secuestrar una DLL en una aplicación de uso común como Notepad++, el código
del atacante se ejecutará cada vez que el usuario abra el editor, lo que
garantiza que el malware sobreviva a los reinicios del sistema.
Si bien la demostración se realizó en Notepad++ v8.8.3, instalado mediante
el archivo oficial npp.8.8.3.Installer.x64.exe, el problema
subyacente afecta fundamentalmente a la forma en que la aplicación carga sus
componentes, lo que sugiere que cualquier versión instalada podría ser
vulnerable.
Actualmente, no existe un parche oficial de los desarrolladores de Notepad++
para abordar CVE-2025-56383. Se recomienda a los usuarios tener precaución y
asegurarse de que sus sistemas no tengan infecciones previas.
Los administradores de sistemas deberían considerar implementar la
monitorización de la integridad de los archivos en los directorios de la
aplicación para detectar modificaciones no autorizadas.
Hasta que se publique una solución, los usuarios solo deben descargar
Notepad++ desde fuentes oficiales y tener cuidado con cualquier comportamiento
inesperado de la aplicación.
Fuente:
Cybersecuritynews