PoC pubblica per CVE-2025-49144 nell’installer Notepad++: escalation a SYSTEM e patch urgente

Una nuova PoC per la vulnerabilità CVE-2025-49144 nell’installer di Notepad++ (≤ v8.8.1) consente l’escalation di privilegi a NT AUTHORITY\SYSTEM tramite binary planting. Sebbene patch sia disponibile con la v8.8.2, la diffusione della PoC innalza il rischio di compromissione per sistemi non aggiornati.

1. Meccanismo d’attacco
L’installer richiama regsvr32.exe senza percorso assoluto; Windows cerca prima nella directory corrente, consentendo a un aggressore di piazzare un binario omonimo malevolo che viene eseguito con i privilegi del servizio di installazione (SYSTEM).

2. Versioni vulnerabili
Notepad++ ≤ 8.8.1 su Windows (installer MSI/EXE).

3. Impatti

• Escalation a NT AUTHORITY\SYSTEM con pieno controllo host.
• Possibile disabilitazione tool di sicurezza, persistenza, movimento laterale.

4. Prova di concetto
PoC e video dimostrativi pubblicati il 25-06-2025 su GitHub e nei report CSIRT-ITA, ora ampiamente distribuiti.

Fonti: ACN, Qualys, Help Net Security