Se ha detectado una grave vulnerabilidad de DLL hijacking en Notepad++ (CVE-2025-56383) que afecta a la versión 8.8.3 y potencialmente a muchas instalaciones del editor en entornos Windows. El problema surge por la forma en que la aplicación carga sus bibliotecas: si solicita una DLL sin indicar la ruta completa, Windows sigue un orden de búsqueda predeterminado que un atacante local puede explotar colocando una DLL maliciosa con el mismo nombre en una ruta que se procese antes que la legítima.

Mecanismo del exploit

La prueba de concepto muestra cómo el ataque puede realizarse reemplazando archivos de complemento —por ejemplo, NppExport.dll dentro de la carpeta plugins—. El atacante renombra la DLL original y deja en su lugar una DLL maliciosa que actúa como proxy, reencaminando las llamadas al archivo legítimo para no levantar sospechas mientras ejecuta código dañino en segundo plano cada vez que se abre el editor.

Impacto potencial

Aunque la demostración sólo evidenció la ejecución mediante un cuadro de diálogo como prueba, el alcance del fallo es preocupante: un actor malicioso podría utilizarlo para lograr persistencia, desplegar cargas útiles adicionales o intentar elevar privilegios. El riesgo es mayor en entornos donde el atacante ya dispone de algún acceso local, ya que la vulnerabilidad facilita la implantación de malware persistente al iniciarse Notepad++.

Estado y recomendaciones

Por ahora no existe un parche oficial de Notepad++ para corregir la falla. Hasta que se publique una actualización, se aconseja:

  • Descargar únicamente versiones desde el sitio oficial y verificar la integridad de los instaladores.
  • Vigilar y comprobar la integridad de los archivos en los directorios de instalación y plugins (hashes, SSM).
  • Restringir permisos de escritura en las carpetas de la aplicación a cuentas administrativas.
  • Emplear soluciones EDR/antimalware que detecten cargas inusuales de bibliotecas y comportamientos anómalos.
  • Auditar y generar alertas sobre cambios, renombrados o escrituras de DLLs en rutas sensibles.

CVE-2025-56383 demuestra que herramientas de uso cotidiano entre desarrolladores pueden convertirse en vectores de persistencia si la carga de módulos y los permisos no están bien gestionados. La amenaza es especialmente relevante en sistemas con acceso local ya comprometido; por ello, administradores y usuarios deberían endurecer controles y prepararse para aplicar el parche en cuanto esté disponible.

https://unaaldia.hispasec[.]com/

You May Also Like

Nuevo hack de clic cero apunta a usuarios de iOS con malware sigiloso con privilegios de raíz

wpadmin001

Elastic lanza actualización urgente para una vulnerabilidad crítica en Kibana que permite ejecución remota de código

HKN FEED

Según se informa, los atacantes han ofrecido vender más de 23 terabytes de datos por 10 bitcoin.

wpadmin001