Notepad++ sotto attacco: una vulnerabilità critica espone milioni di utenti

Notepad++ sotto attacco: una vulnerabilità critica espone milioni di utenti

Una grave vulnerabilità ha colpito Notepad++, uno degli editor di testo più diffusi su Windows: tramite la tecnica del DLL hijacking, criminali informatici possono ottenere il controllo completo del sistema, sfruttando errori nel processo di ricerca dei file durante l’installazione e l’esecuzione del programma. Il problema interessa milioni di utenti e sta attirando molta attenzione nel mondo della sicurezza informatica: è fondamentale aggiornare Notepad++ all’ultima versione disponibile, evitare di eseguire installer da cartelle non sicure e monitorare attentamente i file presenti nelle directory di installazione.
Consigli rapidi: aggiorna Notepad++, scarica solo da fonti ufficiali, non eseguire installer da cartelle sospette.

Notepad++ è da anni un punto di riferimento per programmatori, amministratori di sistema e utenti tecnici. La sua popolarità lo rende un obiettivo privilegiato per gli attacchi informatici. Negli ultimi giorni, ricercatori di sicurezza hanno identificato una vulnerabilità classificata come CVE-2025-49144 e CVE-2025-56383, legata al processo di ricerca e caricamento dei file DLL ed eseguibili necessari durante l’installazione e le sessioni di lavoro. Questa falla permette agli aggressori di sfruttare un comportamento errato dell’installer e del programma stesso per eseguire codice malevolo con i massimi privilegi del sistema operativo.

Cos’è il DLL hijacking
Il DLL hijacking è una tecnica con cui un attacker inserisce una libreria (DLL) o un eseguibile dannoso in una directory in cui il programma bersaglio, a causa di una ricerca non sicura, potrebbe caricarlo involontariamente invece del file genuino previsto. Nei sistemi Windows, molte applicazioni cercano file di supporto nei percorsi predefiniti (come la directory di lavoro o la cartella dei download) senza validare l’integrità o la provenienza dei file.

Dettaglio della vulnerabilità in Notepad++
I recenti report internazionali evidenziano due punti critici:

  • CVE-2025-49144 (installer di Notepad++): Durante l’installazione delle versioni fino alla 8.8.1, Notepad++ cerca alcuni file eseguibili (come regsvr32.exe) nella stessa directory dell’installer. Se un file malevolo con lo stesso nome è presente (ad esempio, nella cartella Download), viene eseguito con privilegi SYSTEM, ovvero il massimo livello possibile su Windows. Questo consente all’attaccante di installare malware, rubare dati sensibili e ottenere il controllo totale del dispositivo.
  • CVE-2025-56383 (plugin DLL hijacking): In alcune versioni recenti (ad esempio v8.8.3), Notepad++ carica plugin dalla directory plugin senza verificare adeguatamente la firma o la provenienza. Un utente malintenzionato, con accesso locale, può sostituire un DLL legittimo con uno malevolo, che viene eseguito all’avvio del programma.

Impatto e scenari di attacco
L’impatto di queste vulnerabilità è significativo soprattutto perché Notepad++ è diffusissimo non solo tra utenti privati ma in ambienti aziendali e pubblici. Un attacco riuscito permette:

  • Escalation dei privilegi da semplice utente a SYSTEM.
  • Installazione di malware persistente che si avvia ad ogni accesso o utilizzo di Notepad++.
  • Accesso e furto di dati sensibili.
  • Possibilità di muoversi lateralmente all’interno di una rete aziendale o lavorativa, compromettendo progressivamente altri sistemi.

I ricercatori sottolineano che la vulnerabilità non è stata progettata per Notepad++ in particolare: l’errore deriva da pratiche comuni e non sicure nella gestione delle dipendenze applicative su Windows. Tuttavia, la presenza di un exploit pubblico accresce notevolmente il rischio.

Come si verifica l’attacco
Lo schema tipico di attacco prevede:

  1. L’attaccante crea un file malevolo (ad esempio regsvr32.exe) e lo colloca nella stessa directory dell’installer di Notepad++ (spesso la cartella Download, dove l’utente scarica sia l’applicazione sia il malware, magari inconsapevolmente).
  2. L’utente avvia il programma d’installazione.
  3. Durante l’installazione, il comportamento errato dell’installer porta all’esecuzione del file malevolo con privilegi elevati, installando così malware o altre backdoor senza che l’utente se ne accorga.

Un altro vettore coinvolge i plugin DLL. Un attaccante locale o remoto con accesso alla cartella plugin può sostituire DLL legittime con versioni modificate, eseguendo codice arbitrario ogni volta che Notepad++ viene avviato.

Diffusione e severità
La gravità della vulnerabilità (CVSS 7.3 – High per CVE-2025-49144) è amplificata dalla larghissima diffusione di Notepad++: la piattaforma è usata in contesti corporate, scolastici e governativi, spesso su macchine dove sono presenti dati sensibili o accessi critici. Il rischio di furto delle credenziali, perdita di dati o propagazione di ransomware è considerato altissimo.

Azioni immediate da intraprendere
Consigli semplici ma fondamentali per tutti gli utenti:

  • Aggiornare Notepad++ appena possibile, non appena sarà disponibile la versione stabile con la patch definitiva (al momento è stato pubblicato solo il commit correttivo).
  • Scaricare l’installer e gli aggiornamenti solo dal sito ufficiale di Notepad++ e mai da link di terzi, email, o siti sospetti.
  • Prima di lanciare il programma di installazione, assicurarsi che nella stessa cartella non siano presenti file eseguibili sospetti o non riconosciuti.
  • Se l’installer si trova nella cartella Download (frequentemente “bersaglio” per questi attacchi), spostarlo in una directory sicura, pulita, prima di eseguire l’installazione.
  • Monitorare regolarmente la cartella plugin di Notepad++, soprattutto su sistemi condivisi, per evitare sostituzioni non autorizzate dei file DLL.
  • Limitare i permessi di scrittura alle directory di installazione e plugin, permettendo modifiche solo agli amministratori.

Come proteggere le aziende
Le organizzazioni devono rafforzare il controllo su tutte le postazioni dove Notepad++ è installato:

  • Utilizzare strumenti EDR (Endpoint Detection and Response) e SIEM per rilevare tentativi di manomissione dei file di installazione o delle librerie plugin.
  • Implementare regole specifiche per la detection dell’exploit, come quelle pubblicate dai principali fornitori di threat intelligence.
  • Eseguire audit periodici delle directory coinvolte, integrando questa prassi nei processi di sicurezza e compliance.
  • Sensibilizzare gli utenti con corsi di formazione mirati su phishing, social engineering e best practice nell’uso dei software.
  • Attivare sistemi di backup automatici, per ridurre i danni in caso di compromissione.

Panorama dei rischi futuri
Questa ondata di vulnerabilità dimostra come applicazioni di uso comune, anche open source e ampiamente utilizzate, possano rappresentare vettori di attacco per cybercriminali sempre più abili nel trovare e sfruttare errori sistemici. Oltre a patchare tempestivamente, occorre adottare una strategia di difesa multilivello che includa:

  • Aggiornamento continuo del software e delle piattaforme.
  • Limitazione dei permessi locali.
  • Validazione dell’integrità dei file di installazione e delle librerie.
  • Automazione nelle attività di detection e risposta agli incidenti.

La vulnerabilità che colpisce Notepad++ apre una finestra di rischio ad ampio raggio, potenzialmente devastante sia per singoli utenti sia per organizzazioni. La risposta deve essere immediata: oltre all’aggiornamento del software, sono necessarie competenze, monitoraggio continuo e formazione degli utilizzatori.

Consigli/azioni approfondite:

  • Configura regole specifiche nei sistemi di rilevamento per individuare comportamenti anomali durante l’installazione di Notepad++ o la modifica dei plugin.
  • Utilizza strumenti di controllo dell’integrità dei file (File Integrity Monitoring) su tutte le directory sensibili.
  • Esegui test periodici di sicurezza (Penetration Test) sugli endpoint Windows della tua rete.
  • Crea procedure di risposta rapida agli incidenti che prevedano il controllo immediato della presenza di malware in caso di segnalazione di attività sospette su Notepad++.
  • Collabora con fornitori di threat intelligence e adotta le ultime raccomandazioni della comunità internazionale, sfruttando piattaforme specializzate per l’aggiornamento delle detection rules e delle best practice.

Investire nella consapevolezza e nella prevenzione resta l’arma più efficace contro un panorama di minacce in continua evoluzione.

Fonte: https://www.redhotcyber.com/post/notepad-sotto-attacco-come-una-dll-fasulla-apre-la-porta-ai-criminal-hacker

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto