雖然文字編輯器鮮少被視為高風險資產,但 CVE-2025-49144 揭示了 Notepad++ 安裝程式中一條危險的本地特權提升 (LPE) 路徑。透過濫用不安全的執行檔搜尋行為,低權限使用者即可取得 SYSTEM 層級的執行權限。
regsvr32.exe 來註冊 NppShell.dll 時未指定硬編碼路徑。攻擊者只需將惡意的 regsvr32.exe 放置在安裝程式目錄下即可實施劫持。
步驟 1:識別受威脅的端點
使用 Sysmon 程序建立事件 (Event ID 1) 來定位執行舊版 Notepad++ 的主機。搜尋檔案版本元數據與已修復版本 (8.8.2) 不符的端點。
process_name:notepad\+\+.exe AND NOT file_version:8.8.2
步驟 2:高保真度威脅狩獵查詢
為了偵測實際的攻擊行為,我們尋找以 SYSTEM 權限執行、且路徑非標準 Windows 系統資料夾的 regsvr32.exe,特別是當其與 Notepad++ 殼層組件交互時。
(((process_command_line: /.*[\\]contextMenu[\\]NppShell\.dll.*/) AND (process_path: /.*[\\]regsvr32\.exe/) AND (process_command_line: /regsvr32 \/s.*/)) AND NOT (process_path: (/C:[\\]Windows[\\]System32[\\]regsvr32\.exe/ OR /C:[\\]Windows[\\]SysWOW64[\\]regsvr32\.exe/)))
步驟 3:部署 Sigma 偵測規則
為了實現自動化偵測,請部署以下 Sigma 規則,以標記 Windows 環境中可疑的註冊嘗試。
title: Potential Notepad++ CVE-2025-49144 Exploitation
status: experimental
description: 偵測 Notepad++ 安裝程式在未指定完整路徑的情況下調用 regsvr32.exe 的行為。
logsource:
product: windows
category: process_creation
detection:
selection:
Image|endswith: '\regsvr32.exe'
CommandLine|startswith: 'regsvr32 /s'
CommandLine|contains: '\contextMenu\NppShell.dll'
filter_legit:
Image:
- 'C:\Windows\System32\regsvr32.exe'
- 'C:\Windows\SysWOW64\regsvr32.exe'
condition: selection and not filter_legit
level: high
最後總結
CVE-2025-49144 提醒我們,特權提升往往隱藏在日常的管理工作流程中。透過監控發生在 System32 之外的 SYSTEM 執行行為,資安團隊能在攻擊者建立持久性存取之前將其瓦解。
關於 Graylog
Graylog 通過完整的 SIEM、企業日誌管理和 API 安全解決方案,提升公司企業網絡安全能力。Graylog 集中監控攻擊面並進行深入調查,提供卓越的威脅檢測和事件回應。公司獨特結合 AI / ML 技術、先進的分析和直觀的設計,簡化了網絡安全操作。與競爭對手複雜且昂貴的設置不同,Graylog 提供強大且經濟實惠的解決方案,幫助公司企業輕鬆應對安全挑戰。Graylog 成立於德國漢堡,目前總部位於美國休斯頓,服務覆蓋超過 180 個國家。
關於 Version 2 Digital
資安解決方案 專業代理商與領導者
台灣二版 ( Version 2 ) 是亞洲其中一間最有活力的 IT 公司,多年來深耕資訊科技領域,致力於提供與時俱進的資安解決方案 ( 如EDR、NDR、漏洞管理 ),工具型產品 ( 如遠端控制、網頁過濾 ) 及資安威脅偵測應 變服務服務 ( MDR ) 等,透過龐大銷售點、經銷商及合作伙伴,提供廣被市場讚賞的產品及客製化、在地化的專業服務。
台灣二版 ( Version 2 ) 的銷售範圍包括台灣、香港、中國內地、新加坡、澳門等地區,客戶涵 蓋各產業,包括全球 1000 大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企業及來自亞 洲各城市的消費市場客戶。