Notepad++ DLL劫持漏洞使数百万用户面临风险

一种旧的攻击方法找到了危险的新目标：Notepad++。这款流行编辑器中的DLL劫持漏洞可能让攻击者悄无声息地入侵全球数百万台计算机。

该漏洞允许攻击者用恶意的DLL替换合法的插件文件，使得每次启动Notepad++都可能成为入侵的入口点。随着概念验证代码的公开，现实世界攻击的可能性正在迅速增加。

安全研究员zer0t0确认了该漏洞的范围，指出"…任何已安装的Notepad++都会受到此漏洞影响。"

风险是什么？

如果被利用，攻击者可以利用此漏洞提升权限、建立持久性或在系统上部署额外的恶意软件。

该漏洞（CVE-2025-56383）凸显了安全软件开发中持续存在的挑战，特别是围绕Windows应用程序如何加载动态链接库（DLL）的问题。漏洞详情以及概念验证（PoC）代码已公开发布，增加了现实世界利用的可能性。

攻击原理

该漏洞的核心在于Notepad++加载插件DLL时没有强制执行严格的路径验证。Windows应用程序通常会在多个目录中搜索所需的库。如果未指定DLL的完整路径，应用程序可能会无意中加载位于更高优先级目录中的恶意文件。

攻击者可以用恶意制作的版本替换插件DLL，例如NppExport.dll。为了保持功能并避免怀疑，攻击者可以重命名合法的DLL（例如original-NppExport.dll），并配置假DLL来代理合法的函数调用。这种技术确保用户看不到应用程序性能的中断，即使恶意负载在后台执行。

成功的利用已经被演示。当受损的Notepad++实例启动时，攻击者的负载以登录用户的相同权限执行，并通过测试消息框验证。

虽然这个特定的演示是良性的，但同样的方法可以传递勒索软件、键盘记录器或后门。

PoC漏洞利用的存在提升了此漏洞的紧迫性。安全研究员确认该漏洞在Notepad++ v8.8.3上演示，通过npp.8.8.3.Installer.x64.exe包安装。然而，底层弱点可能影响所有已安装的版本。

DLL劫持不是新的攻击向量。但它在像Notepad++这样广泛分发的应用程序中的存在极大地扩大了攻击面。由于Notepad++通常部署在企业环境中，受感染的实例可能成为更大规模攻击活动中的垫脚石。

缓解策略

目前，Notepad++团队尚未发布针对CVE-2025-56383的补丁。在修复发布之前，组织和个人应采取以下步骤：

• 限制初始访问向量：确保端点针对网络钓鱼、恶意软件和路过式下载进行加固，攻击者经常使用这些作为利用本地漏洞的前奏。
• 监控文件完整性：在Notepad++\plugins\等目录上实施文件完整性监控（FIM），以检测对DLL文件的未经授权修改。
• 使用官方安装程序：仅从官方项目站点下载Notepad++，以最小化供应链风险。
• 关注持久性指标：安全团队应分析日志中Notepad++重复执行与意外DLL加载的情况。
• 更广泛的卫生实践：应用最小特权访问，启用多因素认证（MFA），并分段关键系统以遏制潜在的危害。

更广泛的背景

此漏洞凸显了软件安全中一个反复出现的问题：在现代威胁环境中利用遗留应用程序设计选择。DLL劫持已被记录多年，但攻击者继续在广泛使用的工具中找到利用它的新方法。

PoC代码的可用性加剧了风险，这降低了高级持续威胁（APT）参与者和机会主义网络犯罪分子利用的门槛。在企业环境中，持久性和权限提升的机会令人担忧，因为受感染的端点可以作为勒索软件或横向移动的发射台。

在Notepad++中发现CVE-2025-56383表明攻击者如何利用看似微小的缺陷获得重大收益。随着PoC的传播，企业应迅速采取行动实施监控和防御措施。

由于DLL劫持只是更广泛供应链风险的一个例子，下一步是学习如何防止软件供应链攻击。