Un bug di dirottamento DLL prende di mira Notepad++. Rischio esecuzione codice arbitrario

Una vulnerabilità critica di dirottamento DLL è stata identificata nella versione 8.8.3 di Notepad++ dai ricercatori della sicurezza, con il codice CVE-2025-56383 assegnato a tale falla.

La vulnerabilità prende di mira specificamente il sistema di plugin di Notepad++, in particolare il file NppExport.dll situato nella directory Notepad++pluginsNppExport.

Questa falla consente agli aggressori di eseguire codice arbitrario sostituendo i file DLL (Dynamic Link Library) legittimi all’interno della directory dei plugin dell’applicazione con versioni dannose che mantengono le stesse funzioni di esportazione.

Gli aggressori possono sfruttare questa debolezza creando un file DLL dannoso con funzioni di esportazione identiche che inoltrano le chiamate al DLL originale eseguendo contemporaneamente codice dannoso.

Quando gli utenti avviano Notepad++, l’applicazione carica automaticamente queste DLL del plugin, creando il presupposto per l’esecuzione di codice dannoso.

Il metodo di attacco prevede la sostituzione del file DLL originale con una versione contraffatta che sembra legittima ma contiene funzionalità dannose incorporate.

Per sfruttare con successo la vulnerabilità è necessario che gli aggressori abbiano accesso al file system locale e siano in grado di modificare i file all’interno della directory di installazione di Notepad++.

Sebbene ciò limiti l’ambito dell’attacco a scenari in cui gli aggressori hanno già un certo livello di accesso al sistema, può fungere da efficace meccanismo di escalation dei privilegi o di persistenza.

Alla vulnerabilità è stato assegnato un punteggio CVSS 3.1 pari a 7,8 (Alto), il che indica implicazioni significative per la sicurezza.

Il vettore di attacco è classificato come locale con bassa complessità e richiede pochi privilegi e interazione da parte dell’utente per avere successo.

Il ricercatore di sicurezza zer0t0 ha pubblicato una proof-of-concept su GitHub, mostrando come la vulnerabilità può essere sfruttata utilizzando il plugin NppExport.dll.

La dimostrazione prevede la sostituzione della DLL originale con una versione dannosa denominata original-NppExport.dll, mantenendo al suo posto la versione contraffatta di NppExport.dll.

Sebbene non sia ancora stata rilasciata alcuna patch ufficiale, gli utenti dovrebbero prestare attenzione quando scaricano Notepad++ da fonti non ufficiali o quando consentono a software non attendibili di modificare il loro sistema.

Le organizzazioni dovrebbero monitorare le proprie installazioni di Notepad++ per rilevare eventuali modifiche non autorizzate ai file DLL dei plugin.

Visto che Notepad++ risulta essere tuttora diffusamente impiegato in svariati contesti, risolvere tale vulnerabilità è fondamentale tanto per gli sviluppatori quanto per gli utilizzatori.

La vulnerabilità non riguarda solo la versione 8.8.3, ma potenzialmente anche altre versioni di Notepad++ che utilizzano meccanismi di caricamento dei plugin simili.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks