Lỗ hổng nghiêm trọng trên ứng dụng Notepad+ cho phép kẻ tấn công chiếm quyền điều khiển

Mở đầu

Gần đây, một lỗ hổng nghiêm trọng trên Notepad++ phiên bản v8.8.1, một ứng dụng vô cùng phổ biến đối với người dùng máy tính trên toàn thế giới, cho phép kẻ tấn công leo thang đặc quyền. Lỗ hổng này, được định danh là CVE-2025-49144, cho phép kẻ tấn công giành quyền SYSTEM bằng kỹ thuật "binary planting". Hiện tại, một mã khai thác minh chứng cho lỗ hổng này đã được công bố công khai.

Vấn đề nằm trong trình cài đặt Notepad++ v8.8.1 phát hành ngày 5 tháng 5 năm 2025, khi nó khai thác đường dẫn tìm kiếm tập tin thực thi không được kiểm soát, từ đó mở đường cho các cuộc tấn công leo thang đặc quyền cục bộ.

Các chuyên gia bảo mật phát hiện trình cài đặt Notepad++ tìm kiếm file thực thi trong thư mục hiện tại mà không kiểm tra hợp lệ, tạo cơ hội cho mã độc được nạp với quyền SYSTEM. Lỗ hổng này nguy hiểm do có thể khai thác dễ dàng thông qua cơ chế tìm kiếm DLL mặc định của Windows.

Cách thức khai thác

Quá trình khai thác lỗ hổng rất đơn giản, cho thấy mức độ nguy hiểm của kỹ thuật tấn công binary planting. Kẻ tấn công chỉ cần đặt một tập tin thực thi độc hại, như một bản giả mạo của regsvr32.exe, vào cùng thư mục với trình cài đặt Notepad++. Lỗ hổng CVE-2025-49144 có thể cho phép kẻ tấn công thực thi một tập tin độc hại với đặc quyền SYSTEM. Tuy nhiên, để khai thác, kẻ tấn công cần có quyền truy cập cục bộ vào hệ thống hoặc lừa người dùng tải xuống cả trình cài đặt Notepad++ và tập tin độc hại vào cùng một thư mục — thường là thư mục Downloads — thông qua kỹ thuật như lừa đảo, clickjacking.

Khi người dùng chạy trình cài đặt từ thư mục chứa tập tin độc hại, lỗ hổng trong đường dẫn tìm kiếm có thể khiến tập tin đó được thực thi với đặc quyền SYSTEM, dẫn đến leo thang đặc quyền. Log từ Process Monitor trong tài liệu PoC đã chỉ rõ hành vi này, và bản demo công khai còn kèm video xác nhận việc khai thác thành công — làm dấy lên lo ngại về khả năng bị lạm dụng trên diện rộng.

Ảnh hưởng

Notepad++ hiện có lượng người dùng lớn toàn cầu, với hơn 1,6 triệu lượt truy cập website mỗi tháng (tính đến tháng 6/2025) và chiếm khoảng 1,33% thị phần trong nhóm IDE và trình soạn thảo văn bản, tương đương hàng trăm nghìn bản cài đặt có thể bị ảnh hưởng.

Do mức độ phổ biến của Notepad++ trong cộng đồng lập trình viên, chuyên gia CNTT và người dùng phổ thông ở nhiều ngành nghề, lỗ hổng này mang lại rủi ro nghiêm trọng nếu không được xử lý kịp thời. Việc Notepad++ được sử dụng rộng rãi trong môi trường doanh nghiệp càng làm gia tăng tác động tiềm ẩn của các cuộc tấn công, có thể dẫn đến rò rỉ dữ liệu, di chuyển ngang trong hệ thống mạng và thậm chí chiếm quyền kiểm soát hoàn toàn hệ thống.

Sự cố lần này tiếp tục nằm trong xu hướng gia tăng các lỗ hổng liên quan đến trình cài đặt phần mềm phổ biến. Các phiên bản trước của Notepad++ cũng từng gặp các vấn đề tương tự, như CVE-2023-6401 và CVE-2023-47452, liên quan đến tấn công DLL hijacking và leo thang đặc quyền. Lỗ hổng này phản ánh xu hướng hiện tại của các mối đe dọa an ninh mạng, trong đó kẻ tấn công ngày càng tập trung vào chuỗi cung ứng phần mềm và các cơ chế phân phối phần mềm đáng tin cậy.

Khuyến nghị

Để ngăn chặn hành vi khai thác lỗ hổng CVE-2025-49144, phía FPT Threat Intelligence đưa ra khuyến nghị sau:

• Cập nhật Notepad+ lên phiên bản v8.8.2 hoặc mới hơn.

• Có hệ thống giám sát phát hiện hành vi tấn công binary plating.

• Khong nên làm theo hướng dẫn cài đặt từ những nguồn không uy tín.

Tham khảo

https://cybersecuritynews.com/notepad-vulnerability/

https://threatprotect.qualys.com/2025/06/25/poc-released-for-notepad-privilege-escalation-vulnerability-cve-2025-49144/

https://github.com/notepad-plus-plus/notepad-plus-plus/security/advisories/GHSA-9vx8-v79m-6m24