Un bug di dirottamento DLL prende di mira Notepad++. Rischio esecuzione codice arbitrario

Una vulnerabilità critica di dirottamento DLL è stata identificata nella versione 8.8.3 di Notepad++ dai ricercatori della sicurezza, con il codice CVE-2025-56383 assegnato a tale falla.

La vulnerabilità prende di mira specificamente il sistema di plugin di Notepad++, in particolare il file NppExport.dll situato nella directory Notepad++pluginsNppExport.

Questa falla consente agli aggressori di eseguire codice arbitrario sostituendo i file DLL (Dynamic Link Library) legittimi all’interno della directory dei plugin dell’applicazione con versioni dannose che mantengono le stesse funzioni di esportazione.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli aggressori possono sfruttare questa debolezza creando un file DLL dannoso con funzioni di esportazione identiche che inoltrano le chiamate al DLL originale eseguendo contemporaneamente codice dannoso.

Quando gli utenti avviano Notepad++, l’applicazione carica automaticamente queste DLL del plugin, creando il presupposto per l’esecuzione di codice dannoso.

Il metodo di attacco prevede la sostituzione del file DLL originale con una versione contraffatta che sembra legittima ma contiene funzionalità dannose incorporate.

Per sfruttare con successo la vulnerabilità è necessario che gli aggressori abbiano accesso al file system locale e siano in grado di modificare i file all’interno della directory di installazione di Notepad++.

Sebbene ciò limiti l’ambito dell’attacco a scenari in cui gli aggressori hanno già un certo livello di accesso al sistema, può fungere da efficace meccanismo di escalation dei privilegi o di persistenza.

Alla vulnerabilità è stato assegnato un punteggio CVSS 3.1 pari a 7,8 (Alto), il che indica implicazioni significative per la sicurezza.

Il vettore di attacco è classificato come locale con bassa complessità e richiede pochi privilegi e interazione da parte dell’utente per avere successo.

Il ricercatore di sicurezza zer0t0 ha pubblicato una proof-of-concept su GitHub, mostrando come la vulnerabilità può essere sfruttata utilizzando il plugin NppExport.dll.

La dimostrazione prevede la sostituzione della DLL originale con una versione dannosa denominata original-NppExport.dll, mantenendo al suo posto la versione contraffatta di NppExport.dll.

Sebbene non sia ancora stata rilasciata alcuna patch ufficiale, gli utenti dovrebbero prestare attenzione quando scaricano Notepad++ da fonti non ufficiali o quando consentono a software non attendibili di modificare il loro sistema.

Le organizzazioni dovrebbero monitorare le proprie installazioni di Notepad++ per rilevare eventuali modifiche non autorizzate ai file DLL dei plugin.

Visto che Notepad++ risulta essere tuttora diffusamente impiegato in svariati contesti, risolvere tale vulnerabilità è fondamentale tanto per gli sviluppatori quanto per gli utilizzatori.

La vulnerabilità non riguarda solo la versione 8.8.3, ma potenzialmente anche altre versioni di Notepad++ che utilizzano meccanismi di caricamento dei plugin simili.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.