Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 29 Settembre 2025 09:09
Una vulnerabilità critica di dirottamento DLL è stata identificata nella versione 8.8.3 di Notepad++ dai ricercatori della sicurezza, con il codice CVE-2025-56383 assegnato a tale falla.
La vulnerabilità prende di mira specificamente il sistema di plugin di Notepad++, in particolare il file NppExport.dll situato nella directory Notepad++pluginsNppExport.
Questa falla consente agli aggressori di eseguire codice arbitrario sostituendo i file DLL (Dynamic Link Library) legittimi all’interno della directory dei plugin dell’applicazione con versioni dannose che mantengono le stesse funzioni di esportazione.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli aggressori possono sfruttare questa debolezza creando un file DLL dannoso con funzioni di esportazione identiche che inoltrano le chiamate al DLL originale eseguendo contemporaneamente codice dannoso.
Quando gli utenti avviano Notepad++, l’applicazione carica automaticamente queste DLL del plugin, creando il presupposto per l’esecuzione di codice dannoso.
Il metodo di attacco prevede la sostituzione del file DLL originale con una versione contraffatta che sembra legittima ma contiene funzionalità dannose incorporate.
Per sfruttare con successo la vulnerabilità è necessario che gli aggressori abbiano accesso al file system locale e siano in grado di modificare i file all’interno della directory di installazione di Notepad++.
Sebbene ciò limiti l’ambito dell’attacco a scenari in cui gli aggressori hanno già un certo livello di accesso al sistema, può fungere da efficace meccanismo di escalation dei privilegi o di persistenza.
Alla vulnerabilità è stato assegnato un punteggio CVSS 3.1 pari a 7,8 (Alto), il che indica implicazioni significative per la sicurezza.
Il vettore di attacco è classificato come locale con bassa complessità e richiede pochi privilegi e interazione da parte dell’utente per avere successo.
Il ricercatore di sicurezza zer0t0 ha pubblicato una proof-of-concept su GitHub, mostrando come la vulnerabilità può essere sfruttata utilizzando il plugin NppExport.dll.
La dimostrazione prevede la sostituzione della DLL originale con una versione dannosa denominata original-NppExport.dll, mantenendo al suo posto la versione contraffatta di NppExport.dll.
Sebbene non sia ancora stata rilasciata alcuna patch ufficiale, gli utenti dovrebbero prestare attenzione quando scaricano Notepad++ da fonti non ufficiali o quando consentono a software non attendibili di modificare il loro sistema.
Le organizzazioni dovrebbero monitorare le proprie installazioni di Notepad++ per rilevare eventuali modifiche non autorizzate ai file DLL dei plugin.
Visto che Notepad++ risulta essere tuttora diffusamente impiegato in svariati contesti, risolvere tale vulnerabilità è fondamentale tanto per gli sviluppatori quanto per gli utilizzatori.
La vulnerabilità non riguarda solo la versione 8.8.3, ma potenzialmente anche altre versioni di Notepad++ che utilizzano meccanismi di caricamento dei plugin simili.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneLa scena è sempre quella: monitor accesi, dashboard piene di alert, log che scorrono troppo in fretta, un cliente in ansia dall’altra parte della call. Ti siedi, ti guardi intorno e ti rendi conto ...
Un noto broker di accesso iniziale (IAB) denominato “Storm-0249“, ha modificato le proprie strategie operative, utilizzando campagne di phishing ma anche attacchi altamente mirati, i quali sfrutta...
È stato rilasciato uno strumento che consente il monitoraggio discreto dell’attività degli utenti di WhatsApp e Signal utilizzando solo un numero di telefono. Il meccanismo di monitoraggio copre o...
Il MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
