شناسه CVE-2025-56383 :CVE
CWE-427 :CWE
yes :Advisory
منتشر شده: سپتامبر 26, 2025
به روز شده: نوامبر 19, 2025
امتیاز: 8.4
نوع حمله: DLL Injection

اثر گذاری: Code Execution
حوزه: نرم افزارهای کاربردی
برند: Notepad++
محصول: Notepad++
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch نشده

چکیده

آسیب‌پذیری DLL Hijacking در Notepad++ نسخه 8.8.3، به مهاجم اجازه می‌دهد با جایگزینی فایل DLL یک پلاگین (مانند NppExport.dll)، کد مخرب خود را در زمان راه‌اندازی نرم‌افزار اجرا کند. این ضعف تنها در صورتی قابل بهره‌برداری است که نرم‌افزار در مسیرهای ناامن نصب شده باشد.

توضیحات

آسیب‌پذیری CVE-2025-56383 در Notepad++ از نوع مسیر جستجوی کنترل‌نشده (Uncontrolled Search Path) مطابق با CWE-427 است. گزارش اولیه بیان می‌کند که هنگام بارگذاری پلاگین‌ها (مثلاً NppExport.dll در دایرکتوری پلاگین‌ها)، Notepad++ از فایل‌های موجود در دایرکتوری نصب خود استفاده می‌کند. در صورتی که این فایل‌ها با یک DLL مخرب جایگزین شوند، مهاجم می‌تواند کد مخرب خود را هنگام اجرای نرم‌افزار اجرا کند. به عبارت دیگر، مهاجم می‌تواند با جایگزینی یک فایل DLL به فایل آلوده، کد دلخواه خود را اجرا کند.

با این حال، این آسیب‌پذیری پس از بررسی‌های گسترده توسط جامعه امنیتی و توسعه‌دهندگان به‌شدت مورد مناقشه قرار گرفت و به‌عنوان یک آسیب‌پذیری واقعی (true vulnerability) پذیرفته نشد. مهم‌ترین دلایل رد این ادعا به شرح زیر است:

Notepad++ به‌طور پیش‌فرض در مسیرهای امن نصب می‌شود (مانند Program Files یا Program Files (x86)) که تنها کاربران با دسترسی ادمین (Administrator) امکان نوشتن در این مسیرها را دارند.
برای جایگزینی DLL، مهاجم باید از پیش امکان نوشتن در دایرکتوری نصب را داشته باشد. یعنی یا باید دسترسی ادمین داشته باشد (که در این صورت نیازی به چنین حمله‌ای نخواهد بود) یا نرم‌افزار را در مسیرهای ناامن مانند root drive، دسکتاپ یا دایرکتوری‌های قابل نوشتن توسط تمامی کاربران (world-writable) نصب کرده باشد.

عملکرد بارگذاری DLL از مسیر نصب نرم‌افزار (که فایل اجرایی Notepad++ نیز در آن قرار دارد) در واقع یک عملکرد استاندارد در ویندوز است و به‌هیچ‌وجه یک ضعف جستجوی مسیر کنترل‌نشده محسوب نمی‌شود.

بسیاری از کارشناسان امنیتی بر این باورند که این آسیب‌پذیری بیشتر به‌عنوان Self-Pwn (آسیب به خود) یا نتیجه تصمیم‌گیری‌های امنیتی ضعیف توسط کاربر یا مدیر سیستم تلقی می‌شود، نه یک باگ واقعی در نرم‌افزار. به عبارت دیگر، این سناریو نشان‌دهنده‌ی ضعف در نحوه نصب یا پیکربندی برنامه است و نه یک نقص در خود Notepad++.

پیامدهای ادعایی این آسیب‌پذیری شامل اجرای کد دلخواه با دسترسی کاربر Notepad++ است که می‌تواند تأثیرات جدی بر محرمانگی، یکپارچگی و دسترس‌پذیری سیستم داشته باشد. با این حال در عمل، اکثر تحلیل‌گران امنیتی معتقدند که در شرایط نصب استاندارد و امن، این آسیب‌پذیری عملاً قابل بهره‌برداری نخواهد بود. در نتیجه، به‌جای تمرکز بر این آسیب‌پذیری در نسخه‌های امن نرم‌افزار، بهتر است که توجه بیشتری به آگاهی امنیتی و شیوه‌های صحیح نصب و پیکربندی سیستم‌ها معطوف شود. کد اثبات مفهومی (PoC) برای این آسیب‌پذیری منتشر شده است که نحوه جایگزینی DLL اصلی برنامه (مانند NppExport.dll) با یک DLL مخرب و اجرای کد دلخواه را شبیه‌سازی می‌کند. این PoC برای تست و شبیه‌سازی حمله به کار می‌رود.

CVSS

Score	Severity	Version	Vector String
8.4	HIGH	3.1	CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions	Product
8.8.3	Notepad++

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Notepad++ را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
27,400	site:.ir “Notepad++”	Notepad++

نتیجه گیری

این آسیب پذیری مناقشه‌برانگیز تنها در شرایط نصب بسیار ناامن Notepad++ (خارج از مسیرهای حفاظت‌شده مانند Program Files) قابل بهره‌برداری است. در نصب‌های استاندارد ویندوز، این ضعف به عنوان آسیب‌پذیری واقعی پذیرفته نشده و بیشتر به اشتباه کاربر یا مدیر سیستم در انتخاب مسیر نصب مربوط می‌شود.

با این حال، برای جلوگیری از بروز چنین سناریوهایی (چه در Notepad++ و چه در سایر برنامه‌ها) اقدامات زیر را اعمال کنید:

نصب در مسیر امن: همیشه Notepad++ را در مسیر پیش‌فرض Program Files یا Program Files (x86) نصب کنید. از نصب برنامه‌ها در مسیرهایی مانند root drive ، دسکتاپ یا هر دایرکتوری که کاربران عادی امکان نوشتن دارند، خودداری کنید.
تقویت جستجوی DLL در سطح سیستم: مقدار رجیستری SafeDllSearchMode را روی 1 تنظیم کنید (جستجوی امن DLL). مقدار CWDIllegalInDllSearch را روی 2 یا 0xFFFFFFFF تنظیم کنید تا از بارگذاری DLL از دایرکتوری جاری جلوگیری شود.
محدودسازی مجوزهای فایل‌سیستم: اگر Notepad++ را در مسیری غیر از مسیرهای استاندارد نصب کرده‌اید، مجوزهای نوشتن (Write/Modify) را از گروه‌های Users و Authenticated Users در دایرکتوری نصب و زیرپوشه‌های پلاگین‌ها حذف کنید.
استفاده از مکانیزم‌های کنترل برنامه: برای محدود کردن اجرای فایل‌های اجرایی و DLLها، از ابزارهایی مانند AppLocker یا Windows Defender Application Control (WDAC) استفاده کنید تا فقط مسیرهای مورد اعتماد امکان اجرای این فایل‌ها را داشته باشند.
آموزش و سیاست‌های سازمانی: به کاربران آموزش دهید که همیشه برنامه‌ها را در مسیرهای پیش‌فرض نصب کنند. سیاست نصب نرم‌افزار را به‌گونه‌ای تنظیم کنید که فقط مسیرهای حفاظت‌شده مجاز باشند.
مانیتورینگ و تشخیص: تغییرات غیرمجاز در دایرکتوری‌های نصب برنامه‌ها (به‌ویژه پلاگین‌ها) را با استفاده از نظارت بر یکپارچگی فایل‌ها (FIM) مانیتور کنید.

با اجرای این اقدامات دفاعی، حتی در صورت وجود نصب‌های ناامن، احتمال موفقیت حملات DLL Hijacking به‌طور چشمگیری کاهش می‌یابد.

امکان استفاده در تاکتیک های Mitre Attack (در زمان اجرای حمله)

Initial Access (TA0001)
در سناریوی بهره‌برداری از CVE-2025-56383، دسترسی اولیه به‌صورت غیرمستقیم و محلی شکل می‌گیرد و وابسته به شرایط نصب نرم‌افزار است. تحقق این تاکتیک مستلزم آن است که Notepad++ در مسیری نصب شده باشد که قابلیت نوشتن برای کاربر عادی یا سایر کاربران سیستم وجود داشته باشد؛ به‌عبارت دیگر، اگر برنامه خارج از مسیرهای پیش‌فرض امن سیستم‌عامل قرار گرفته باشد. در چنین وضعیتی، مهاجم می‌تواند پیش از اجرای برنامه، یک فایل DLL دستکاری‌شده را در همان مسیر قرار دهد، بدون آنکه نیاز به عبور از سازوکارهای احراز هویت یا کنترل دسترسی سطح بالا داشته باشد. نقطه آغاز حمله نه از طریق نفوذ شبکه‌ای، بلکه از طریق سوءاستفاده از تصمیمات نادرست در نصب و پیکربندی نرم‌افزار فراهم می‌شود.

Execution (TA0002)
اجرای حمله در لحظه‌ای اتفاق می‌افتد که برنامه Notepad++ راه‌اندازی شده و فرآیند بارگذاری پلاگین‌ها آغاز می‌شود. شرط اصلی این مرحله آن است که نرم‌افزار هنگام اجرا، DLL موردنظر را از مسیر نصب خود و بدون اعتبارسنجی صحت یا منبع آن بارگذاری کند. در نتیجه، کد مخرب درون DLL جایگزین‌شده، در کانتکست اجرای برنامه فعال می‌شود و جریان عادی اجرای نرم‌افزار را در اختیار می‌گیرد. این اجرا به‌صورت شفاف و بدون نمایش نشانه‌های غیرعادی به کاربر انجام می‌شود و نیازی به فراخوانی مستقیم یا تعامل اضافی از سوی مهاجم ندارد.

Persistence (TA0003)
در صورت تمایل مهاجم به تداوم دسترسی، امکان ایجاد ماندگاری از طریق باقی ماندن DLL مخرب در مسیر نصب وجود دارد. تحقق این تاکتیک منوط به آن است که فایل مخرب پس از هر بار اجرا حذف یا بازنویسی نشود و سازوکارهای امنیتی سیستم نیز آن را شناسایی نکنند. با این شرایط، هر بار که کاربر برنامه را اجرا می‌کند، کد مخرب مجدداً فعال می‌شود و دسترسی مهاجم حفظ می‌گردد، بدون آنکه تغییری در تنظیمات سیستمی یا رجیستری الزامی باشد.

Privilege Escalation (TA0004)
اگرچه اجرای اولیه کد با سطح دسترسی کاربر انجام می‌شود، اما در محیط‌هایی که کاربر دارای سطح دسترسی بالا یا دسترسی‌های تکمیلی است، این اجرا می‌تواند به ارتقای عملی سطح دسترسی منجر شود. شرط این تاکتیک آن است که فرآیند Notepad++ در محیطی اجرا شود که محدودیت‌های سخت‌گیرانه‌ای مانند اجرای در Sandbox یا سیاست‌های محدودکننده اعمال نشده باشد. در چنین سناریویی، کد اجراشده می‌تواند از همان سطح کاربر برای دسترسی به منابع حساس‌تر استفاده کند.

Defense Evasion (TA0005)
این روش بهره‌برداری به‌طور طبیعی قابلیت پنهان‌سازی بالایی دارد، زیرا از مکانیزم‌های استاندارد بارگذاری DLL در ویندوز استفاده می‌کند. شرط موفقیت در این تاکتیک آن است که حمله تنها به جایگزینی یک فایل مشروع بسنده کند و تغییری در رفتار ظاهری برنامه ایجاد نکند. در نتیجه، فعالیت مخرب در قالب اجرای عادی نرم‌افزار پنهان می‌شود و تشخیص آن برای ابزارهایی که به دنبال الگوهای غیرمعمول هستند دشوارتر خواهد بود.

Impact (TA0040)
پیامد نهایی CVE-2025-56383، در صورت فراهم بودن شرایط خاص نصب ناامن، می‌تواند به اجرای پایدار کد دلخواه در سطح کاربر منجر شود و محرمانگی، یکپارچگی و در دسترس‌پذیری سیستم را تحت تأثیر قرار دهد. اگرچه این ضعف به‌طور ذاتی وابسته به پیکربندی نادرست است و در نصب‌های استاندارد قابل بهره‌برداری نیست، اما در محیط‌های واقعی که اصول نصب امن رعایت نشده‌اند، می‌تواند به نقطه ورود قابل اتکایی برای سوءاستفاده تبدیل شود. در چنین شرایطی، اعتماد کاربر به یک نرم‌افزار رایج به عاملی برای اجرای ناخواسته کد مخرب بدل شده و هزینه‌های پاک‌سازی و بازیابی سیستم را به‌طور قابل توجهی افزایش می‌دهد.

منابع

گزارش تحلیل آسیب‌پذیری CVE-2025-56383

اطلاعات آسیب‌پذیری

عنوان: آسیب‌پذیری Hijacking DLL در Notepad++ وابسته به پیکربندی ناامن نصب
شناسه: CVE-2025-56383
وضعیت مشاوره: Advisory / Disputed

نمره CVSS تقریبی: CVSS v3.1: 8.4 (High)

توجه: این نمره بر پایه سناریوی بدبینانه و وابسته به پیکربندی خاص محاسبه شده و منعکس‌کننده ریسک عملی در محیط‌های استاندارد نیست.

محصول / نسخه‌هایآسیب پذیر:: Notepad++ نسخه 8.8.3

در صورتی که در شرایط پیکربندی ناایمن زیر نصب شده باشد:
◦ نصب در مسیرهایی با دسترسی نوشتاری برای کاربران عادی (غیر مدیریتی) سیستم
محیط‌های درگیر:
- سیستم‌های ویندوزی چندکاربره که نرم‌افزار در مسیرهای اشتراکی یا کنترل‌نشده (مانند ریشه درایو، پوشه‌های کاربران، دسکتاپ) نصب شده است.
- محیط‌های توسعه یا آزمایشی که به دلیل سهولت دسترسی، نصب برنامه در خارج از دایرکتوری‌های محافظت‌شده سیستم مرسوم است.
- محیط‌هایی که سیاست‌های امنیتی سخت‌گیرانه‌ای برای کنترل مجوزهای فایل‌سیستم و مسیرهای نصب نرم‌افزار اعمال نشده است.
- سیستم‌هایی که کاربران با دسترسی استاندارد (غیر از Administrator) امکان تغییر فایل‌ها در دایرکتوری نصب برنامه را دارند.

کامپوننت‌های آسیب پذیر:

مکانیزم بارگذاری پلاگین‌ها و کتابخانه‌های جانبی (DLL) در Notepad++.
الگوی جستجوی ویندوز برای یافتن و بارگذاری فایل‌های DLL مورد نیاز در زمان اجرا.
مدیریت مجوزهای دسترسی فایل‌سیستم (Access Control Lists – ACLs) بر روی دایرکتوری نصب نرم‌افزار.
پلاگین پیش‌فرض NppExport.dll که به عنوان نمونه‌ای از یک کتابخانه قابل بارگذاری ذکر شده است.

ریشه مشکل (Root Cause Analysis)

ریشه این آسیب پذیری بر اساس طبقه‌بندی CWE-427 (عنصر مسیر جستجوی کنترل‌نشده) مطرح شده است. Notepad++ در فرآیند بارگذاری پلاگین‌های خود، کتابخانه‌های DLL را از دایرکتوری نصبش جستجو و بارگذاری می‌کند. اگر این دایرکتوری از نظر امنیتی محافظت نشده باشد و کاربران غیرمجاز توانایی نوشتن در آن را داشته باشند، امکان جایگزینی DLLهای قانونی با نسخه‌های مخرب فراهم می‌شود. با این حال، تحلیل عمیق‌تر نشان می‌دهد که این رفتار، یک نقص ذاتی یا باگ نرم‌افزاری در Notepad++ محسوب نمی‌شود، بلکه تابعی از رفتار استاندارد سیستم عامل ویندوز و انتخاب پیکربندی نادرست توسط کاربر یا مدیر سیستم است. در یک نصب استاندارد و امن، Notepad++ در مسیرهای سیستمی محافظت‌شده مانند C:\Program Files یا C:\Program Files (x86) نصب می‌شود که دسترسی نوشتن به آن‌ها منحصر به حساب‌های کاربری با امتیاز مدیریتی (Administrator) است. بنابراین، شرط اساسی برای تحقق سناریوی حمله (دسترسی نوشتاری کاربر عادی به دایرکتوری نصب) خارج از چارچوب طراحی امن پیش‌فرض نرم‌افزار و سیستم عامل رخ می‌دهد. این تناقض بین ادعای آسیب‌پذیری و شرایط عملی مورد نیاز برای بهره‌برداری، موجب ایجاد وضعیت “مورد مناقشه” (Disputed) برای این CVE شده است. جامعه امنیتی و توسعه‌دهنده عموماً این مورد را بیشتر نشان‌دهنده یک خطای پیکربندی (Misconfiguration) یا نقض بهترین روش‌های امنیتی (Security Best Practice Violation) می‌دانند تا یک آسیب‌پذیری نرم‌افزاری واقعی.

بخش آسیب‌پذیر

رفتار نا امن سیستم:

بارگذاری فایل‌های DLL از دایرکتوری نصب Notepad++ به‌جای اولویت‌دهی مطلق به مسیرهای سیستمی امن در طی فرآیند جستجوی کتابخانه‌های پویا توسط ویندوز.
عدم وجود مکانیزم اعتبارسنجی یکپارچگی (مانند امضای دیجیتال) برای فایل‌های DLL بارگذاری‌شده از دایرکتوری نصب محلی در نسخه‌ی مورد نظر.
وابستگی سناریوی حمله به نقض اصل حداقل دسترسی (Principle of Least Privilege) در سطح مجوزهای فایل‌سیستم.

نحوه سوءاستفاده توسط مهاجم:

مهاجمی که به‌صورت محلی به سیستم دسترسی دارد (با حساب کاربری عادی) و برنامه در یک مسیر ناامن نصب شده باشد، می‌تواند اقدامات زیر را انجام دهد:

شناسایی مسیر نصب Notepad++ که برای کاربران عادی قابل نوشتن است.
جایگزینی یا اضافه کردن یک فایل DLL مخرب با نام یک DLL معتبر مورد استفاده توسط Notepad++ (مانند NppExport.dll) در دایرکتوری نصب یا زیرپوشه‌های پلاگین.
انتظار یا تحریک کاربر هدف برای راه‌اندازی نرم‌افزار Notepad++.
اجرای کد مخرب جاسازی‌شده در DLL جعلی در زمینه امنیتی (Security Context) کاربری که نرم‌افزار را اجرا کرده است.

نقش این آسیب‌پذیری در زنجیره حمله

در صورت تحقق تمام پیش‌شرط‌های مورد نظر (نصب ناامن)، این روش می‌تواند به عنوان یک وکتور اجرای کد محلی (Local Code Execution) در چارچوب تاکتیک‌های مهاجمی عمل کند. با این حال، به دلیل وابستگی شدید به یک پیکربندی خاص که عموماً در محیط‌های مدیریت‌شده رخ نمی‌دهد، ارزش عملیاتی آن به عنوان یک نقطه نفوذ اولیه قابل اتکا پایین ارزیابی می‌شود. بیشترین کاربرد احتمالی آن در محیط‌های بسیار شلوغ و بی‌نظم یا در سناریوهای حمله بسیار هدفمند با اطلاعات قبلی از پیکربندی قربانی است.

پیش‌نیازهای بهره‌برداری (Prerequisites)

نصب Notepad++ در یک مسیر فایل‌سیستمی که مجوز نوشتن (Write / Modify) برای کاربران عادی (گروه Users یا Authenticated Users) را دارا باشد. این شرط اساسی و تعیین‌کننده است.
دسترسی محلی مهاجم به سیستم با یک حساب کاربری که دارای مجوز نوشتن در مسیر نصب آسیب‌پذیر است.
عدم وجود مکانیزم‌های کنترل برنامه (مانند AppLocker یا WDAC) که اجرای کد از مسیرهای غیرمجاز یا غیرمعتبر را مسدود می‌کنند.
عدم استفاده کاربر از حساب مدیریتی (Administrator) برای فعالیت‌های روزمره که می‌تواند سطح تاثیر را محدود کند.
نیاز به تعامل کاربر نهایی برای راه‌اندازی نرم‌افزار Notepad++ پس از استقرار DLL مخرب.

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

در یک حالت امن و منطبق با بهترین روش‌ها، انتظار می‌رود که:

نرم‌افزارها، از جمله Notepad++، همواره در دایرکتوری‌های سیستمی محافظت‌شده نظیر Program Files نصب شوند. این دایرکتوری‌ها به‌طور پیش‌فرض با مجوزهای دسترسی محدود شده‌ای پیکربندی می‌شوند که مانع از تغییر فایل‌ها توسط کاربران غیر مدیریتی می‌گردد.
سیستم عامل ویندوز با فعال‌سازی تنظیمات امنیتی مانند SafeDllSearchMode، اولویت جستجوی DLL را به مسیرهای سیستمی امن (مانند System32) معطوف کرده و از بارگذاری کتابخانه‌ها از دایرکتوری جاری برنامه به طور پیش‌فرض جلوگیری می‌کند.
نرم‌افزارها می‌توانند از امضای دیجیتال برای مولفه‌های حیاتی خود استفاده کنند تا یکپارچگی کد در زمان بارگذاری تأیید گردد.
مدیران سیستم با استفاده از ابزارهایی مانند Group Policy، نصب برنامه‌ها در مسیرهای غیراستاندارد و ناامن را محدود یا ممنوع می‌کنند.
راهکارهای امنیتی نقطه پایانی (Endpoint Security) رفتارهای غیرعادی بارگذاری DLL از مسیرهای با مجوز ناامن را شناسایی و مسدود می‌نمایند.

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری برای کاهش ریسک

بررسی مسیر نصب Notepad++ در کلیه سیستم‌ها. در صورت نصب در مسیرهای خارج از Program Files یا Program Files (x86)، نرم‌افزار را حذف و مجدداً در مسیر پیش‌فرض امن نصب نمایید.
بازبینی و اصلاح مجوزهای دسترسی (ACLs) دایرکتوری نصب Notepad++ در صورت لزوم. اطمینان حاصل کنید که تنها حساب‌های مدیریتی (Administrators) و سیستم (SYSTEM) دارای مجوز کامل (Full Control) هستند و گروه Users تنها مجوز خواندن و اجرا (Read & Execute) دارد.
اعمال وصله یا به‌روزرسانی خاصی از سوی توسعه‌دهنده Notepad++ برای این CVE ضروری نیست، چرا که مشکل در پیکربندی است نه در کد.

اقدامات کوتاه‌مدت / میان‌مدت برای کاهش ریسک

آموزش کاربران و مدیران سیستم در مورد اهمیت نصب نرم‌افزارها در مسیرهای استاندارد و محافظت‌شده سیستم عامل.
ایجاد و اجرای سیاست‌های گروهی (Group Policies) در محیط‌های سازمانی برای محدود کردن قابلیت نصب نرم‌افزار توسط کاربران عادی یا هدایت اجباری نصب به مسیرهای امن.
فعال‌سازی و پیکربندی ویژگی SafeDllSearchMode و تنظیم CWDIllegalInDllSearch در رجیستری ویندوز برای تقویت امنیت فرآیند جستجوی DLL در سطح سیستم.
استقرار و پیکربندی راهکارهای کنترل برنامه (Application Control) مانند Windows Defender Application Control (WDAC) یا AppLocker برای ایجاد لیست سفید از مسیرهای مجاز اجرای برنامه‌ها و کتابخانه‌های آن‌ها.

اقدامات بلندمدت برای کاهش ریسک

گنجاندن بررسی‌های امنیتی پیکربندی (Hardening) در چرخه استقرار سیستم‌های جدید (Image Deployment). این بررسی‌ها باید شامل تأیید مجوزهای صحیح دایرکتوری‌های نرم‌افزاری و نصب برنامه‌های ضروری در مسیرهای امن باشد.
ادغام اسکنرهای آسیب‌پذیری که قابلیت شناسایی پیکربندی‌های ناامن (مانند مجوزهای نوشتاری بیش از حد بر روی دایرکتوری‌های برنامه) را دارند، در فرآیندهای ممیزی امنیتی دوره‌ای.
توسعه و تقویت فرهنگ امنیتی سایبری در سازمان به گونه‌ای که رعایت اصول پایه‌ای امنیت، مانند اصل حداقل دسترسی، به یک عادت و استاندارد کاری تبدیل شود.

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های تلاش برای سوءاستفاده

نشانه‌های زیر در صورت وقوع حمله مبتنی بر این روش ممکن است مشاهده شوند و پایش آن‌ها توصیه می‌شود:

ایجاد یا تغییر فایل‌های DLL در دایرکتوری نصب Notepad++ یا زیرپوشه‌های plugins آن، توسط کاربران عادی یا حساب‌های سرویس غیرمنتظره.
رویدادهای بارگذاری DLL در لاگ‌های امنیتی ویندوز (مانند Event ID 7 در لاگ Microsoft-Windows-Sysmon/Operational در صورت فعال بودن Sysmon) که منبع بارگذاری، مسیر نصب Notepad++ باشد و با امضای معتبر دیجیتال همراه نباشد.
هشدارهای ایجاد شده توسط راهکارهای امنیتی نقطه پایانی (EDR) یا آنتی‌ویروس‌ها در رابطه با رفتارهای مشکوک مرتبط با DLL Side-Loading یا اجرای کد از مسیرهای غیرمعمول.
رفتارهای غیرعادی از فرآیند notepad++.exe پس از راه‌اندازی، مانند ایجاد اتصال شبکه به آدرس‌های نامعتبر، دسترسی به فایل‌های حساس سیستم، یا تلاش برای اجرای پردازه‌های جدید.

منابع پیشنهادی برای مانیتورینگ و پایش

به‌منظور تشخیص به‌موقع و مؤثر تلاش‌های سوءاستفاده، پایش منابع زیر توصیه می‌شود:

لاگ‌های امنیتی ویندوز (Security Events) و لاگ‌های Sysmon با تمرکز بر رویدادهای ایجاد فایل، تغییر مجوزها و بارگذاری ماژول‌ها.
گزارش‌های تولید شده توسط راهکارهای کنترل برنامه (AppLocker/WDAC) در صورت پیاده‌سازی.
خروجی سیستم‌های نظارت بر یکپارچگی فایل‌ها (File Integrity Monitoring – FIM) که بر روی دایرکتوری‌های نصب برنامه‌های حیاتی، از جمله Notepad++، نظارت می‌کنند.
داشبوردهای مدیریتی راهکارهای EDR که فعالیت‌های پردازه‌ای مشکوک و بارگذاری‌های DLL غیرمعمول را هایلایت می‌کنند.

واکنش به حادثه (Incident Response)

اقدامات اضطراری که در صورت مشاهده نشانه‌های نفوذ یا رفتار مشکوک مرتبط باید اتخاذ شود:

جداسازی سیستم آلوده یا مشکوک از شبکه برای جلوگیری از گسترش احتمالی.
جمع‌آوری و حفظ شواهد دیجیتالی از جمله ایمیج حافظه (Memory Dump) و کپی از فایل‌های DLL موجود در دایرکتوری نصب Notepad++ قبل از هرگونه تغییر.
بررسی عمیق لاگ‌های سیستم عامل و امنیتی برای تعیین زمان، روش و دامنه فعالیت مخرب.
حذف فایل‌های DLL مشکوک و غیرمجاز از دایرکتوری نصب برنامه.
انجام یک اسکن کامل آنتی‌ویروس/بدافزار بر روی سیستم با استفاده از ابزارهای به‌روز شده.
در صورت اطمینان از آلودگی، حذف کامل Notepad++ و نصب مجدد آن از یک منبع معتبر در یک مسیر امن (Program Files).
بازبینی و اصلاح مجوزهای دسترسی بر روی دایرکتوری‌های نرم‌افزاری دیگر سیستم برای جلوگیری از وقوع مجدد حوادث مشابه.
مستندسازی کامل حادثه، اقدامات پاسخ و به‌روزرسانی برنامه پاسخ به حوادث بر اساس درس‌های آموخته شده.

جریان حمله (Attack Flow)

در شکل ۱، جریان کلی بهره‌برداری از این آسیب‌پذیری به‌صورت مفهومی نمایش داده شده است. در این سناریو مهاجم داخلی (با دسترسی کاربر عادی) بر روی سیستمی عمل می‌کند که Notepad++ در یک مکان ناامن، مانند یک پوشه اشتراکی با مجوزهای آزاد، نصب شده است. مهاجم ابتدا وجود این پیکربندی ناامن را تأیید می‌کند. سپس، با استفاده از دسترسی نوشتاری خود، یک DLL جعلی با نامی مشابه یک DLL معتبر مورد استفاده Notepad++ (مانند NppExport.dll) ایجاد یا جایگزین می‌کند. این DLL مخرب می‌تواند حاوی کدی برای اجرای یک بارگذار (Downloader) یا یک backdoor باشد. در مرحله بعد، مهاجم منتظر می‌ماند تا کاربر هدف (که ممکن است همان کاربر یا کاربر دیگری باشد) برنامه Notepad++ را راه‌اندازی کند. در زمان اجرا، به دلیل مکانیزم جستجوی DLL ویندوز و عدم محافظت از مسیر نصب، کتابخانه مخرب بارگذاری و کد آن اجرا می‌شود. این اجرا در زمینه امنیتی کاربری رخ می‌دهد که برنامه را اجرا کرده و می‌تواند منجر به سرقت اطلاعات، نصب بدافزار ثانویه یا ایجاد دسترسی پایدار شود. کل این فرآیند مشروط به وجود آن پیکربندی ناامن اولیه است.

شکل 1: نمودار جریان حمله (وابسته به پیکربندی ناامن)

اثبات مفهوم (PoC) — کاملاً غیرمخرب

آزمایشگاه تخصصی Vulnerbyte این ادعا را در یک محیط ایزوله و با شبیه‌سازی شرایط پیکربندی ناامن (نصب Notepad++ در یک پوشه با مجوز نوشتاری برای Everyone) مورد بررسی قرار داده است. هدف از این اثبات مفهوم صرفاً نمایش ارتباط منطقی بین پیکربندی ناامن و یک رفتار سیستمی بالقوه خطرناک است.

این بررسی نشان می‌دهد که در شرایط آزمایشی، جایگزینی یک DLL و اجرای کد از طریق آن از نظر فنی امکان‌پذیر است.
هیچ کد مخرب واقعی یا exploit عملیاتی در این گزارش ارائه نمی‌شود. تمرکز بر روی نمایش مکانیزم بارگذاری و تأثیر مجوزهای فایل‌سیستم است.
نتایج تأکید می‌کنند که راه‌حل اصلی، اصلاح پیکربندی و رعایت بهترین روش‌های امنیتی است، نه تغییر در کد Notepad++.

تصویر ارائه‌شد در شکل ۲ نشان‌دهنده اثبات مفهوم (PoC) و اجرای موفقیت‌آمیز این آسیب‌پذیری در آزمایشگاه Vulnerbyte می باشد.

شکل 2: خروجی آزمایشی جایگزینی DLL در محیط ایزوله

رفع مسئولیت

این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوب‌های قانونی از محتوای آن ممنوع است.

منابع (References)

Notepad++

CVE-2025-56383 – Potential DLL Hijacking via Insecure Installation Directory (Disputed)

Affects

Notepad++ v8.8.3
Windows environments where:
- Notepad++ is installed into a directory tree
- that directory allows write access by arbitrary unprivileged users

Important: This vulnerability is disputed. The described behavior depends on an insecure installation choice rather than a default or recommended configuration.

Description

CVE-2025-56383 describes a potential DLL hijacking vulnerability affecting Notepad++ v8.8.3.

In certain installation scenarios, Notepad++ may load a required Dynamic Link Library (DLL) from its installation directory. If that directory is user-writable, an unprivileged local attacker could replace the legitimate DLL with a malicious one. When Notepad++ is subsequently launched, the malicious DLL may be loaded and executed in the context of the Notepad++ process.

This issue is disputed by multiple parties, as the vulnerable behavior only manifests when:

the application is installed into a directory that allows write access to unprivileged users, and
standard Windows security best practices for application installation are not followed.

By default, installing Notepad++ into a protected directory such as C:\Program Files\ mitigates this risk.

Attack Vector

Primary Attack Vector:
Local / File System

Attack Scenario:

A user installs Notepad++ into a directory that is writable by non-administrative users (e.g., a shared or user-controlled path).
A local unprivileged attacker places or replaces a DLL in the Notepad++ installation directory.
When Notepad++ is launched, Windows DLL search order causes the malicious DLL to be loaded.
The attacker-controlled code executes with the privileges of the user running Notepad++.

Key Characteristics:

Requires local access to the system.
No remote exploitation.
No privilege escalation beyond the current user.
Relies on non-default, insecure installation practices.

Conditions Increasing Risk:

Installation outside protected system directories.
Shared machines with multiple local users.
Weak filesystem permission hygiene.

Observed Exploitation & Threat Activity

There are no confirmed reports of active exploitation in the wild.
The issue is primarily theoretical and configuration-dependent.
Similar DLL hijacking techniques are well-known and have historically been abused when applications are installed in user-writable paths.

Severity & Metrics

CVSS v3.1: Low to Medium (commonly assessed around 3.0 – 5.0, depending on environment)
Attack Vector: Local
Privileges Required: Low (local unprivileged user)
User Interaction: Required (launching the application)
Impact:
- Confidentiality: Low
- Integrity: Low
- Availability: Low

Relevant CWE:

CWE-427 – Uncontrolled Search Path Element
CWE-284 – Improper Access Control

Patch & Vendor Status

As of reporting, no vendor patch is required, as:
- the behavior does not occur in default, secure installations, and
- it is mitigated by following standard Windows installation practices.
The issue is marked as disputed due to its reliance on insecure configuration.

Mitigation & Remediation

Recommended Actions

Install Notepad++ only into protected directories (e.g., C:\Program Files\).
Ensure installation directories are not writable by unprivileged users.
Audit filesystem permissions on application directories.
Avoid running applications from shared or user-writable paths.

Defense-in-Depth

Enable Windows features such as:
- User Account Control (UAC)
- Windows Defender Application Control (WDAC)
Monitor for unexpected DLL files in application directories.

Detection & Hunting

Indicators of Potential Abuse:

Unexpected DLL files appearing in Notepad++ directories.
Notepad++ loading DLLs from non-standard paths.
Antivirus or EDR alerts related to DLL side-loading.

Recommended Monitoring:

File integrity monitoring on application directories.
EDR telemetry for DLL load events.
Windows Event Logs related to application execution anomalies.

Post-Incident Response

If malicious DLL loading is suspected:

Stop the affected Notepad++ instance.
Inspect the installation directory for unauthorized files.
Remove malicious DLLs and restore legitimate binaries.
Reinstall Notepad++ into a secure directory.
Review local user activity and permissions.

Summary Table

Category	Details
Vulnerability	Potential DLL hijacking
Attack Vector	Local filesystem manipulation
Impact	Arbitrary code execution as current user
Affected Product	Notepad++ v8.8.3
Exploitability	Configuration-dependent
Severity	Low to Medium
Status	Disputed

References

CVE-2025-56383
MITRE CWE-427 – Uncontrolled Search Path Element
Microsoft Documentation – Dynamic Link Library Search Order

CVE-2025-56383

Notepad++ DLL Hijacking Vulnerability Enables Code Execution