Uma vulnerabilidade grave descoberta no instalador da versão 8.8.1 do Notepad++ acendeu um alerta importante para usuários e administradores de sistemas. A falha, classificada como de escalonamento local de privilégios (LPE), pode permitir que um usuário sem permissões eleve seu acesso ao nível SYSTEM — o mais alto dentro do Windows.
🔍 O que aconteceu?
A brecha foi registrada como GHSA-9vx8-v79m-6m24 e explorava uma técnica conhecida como binary planting, baseada em um caminho de busca não controlado (CWE-427). Durante a instalação, o script do Notepad++ executava o seguinte comando:
nginx
CopiarEditar
ExecWait ‘regsvr32 /u /s “$INSTDIR\NppShell_01.dll”‘
O problema? O instalador procurava pelo binário regsvr32.exe primeiro no diretório atual — como a pasta Downloads — antes de buscar nos diretórios do sistema. Isso abria a porta para que um invasor colocasse um arquivo malicioso com o mesmo nome (regsvr32.exe) na mesma pasta do instalador. Quando a instalação fosse iniciada, o código malicioso seria executado com privilégios elevados.
🧪 Exploração comprovada
Pesquisadores de segurança — Shashi Raj (@EmperialX), Yatharth Tyagi (@Heated-Yeti) e Kunal Choudhary (@kunal0x00) — testaram com sucesso a vulnerabilidade, demonstrando a possibilidade de abrir uma reverse shell com acesso de SYSTEM. A forma mais comum de exploração envolve engenharia social: um atacante induz o usuário a baixar o instalador junto do executável malicioso na mesma pasta e executar ambos.
📊 Classificação e impactos
A falha recebeu uma pontuação CVSS de 7.3, considerada de alta gravidade, e está associada às seguintes fragilidades:
- CWE-427 – Caminho de busca não controlado
- CWE-272 – Violação do princípio de privilégio mínimo
- CWE-276 – Permissões padrão incorretas
🛡️ A correção já está disponível
A equipe do Notepad++ agiu rápido: a versão 8.8.2 já traz o patch necessário. O instalador agora chama diretamente o executável do sistema:
nginx
CopiarEditar
ExecWait ‘$SYSDIR\regsvr32.exe /u /s “$INSTDIR\NppShell_01.dll”‘
Com isso, o risco de carregar arquivos maliciosos da pasta atual é eliminado.
✅ O que você deve fazer agora?
Se você ainda está usando a versão 8.8.1 ou anterior, atualize imediatamente para a versão 8.8.2.
Enquanto isso:
- Evite rodar instaladores diretamente da pasta Downloads;
- Prefira mover arquivos para pastas com acesso restrito antes de executá-los;
- Empresas devem bloquear execuções não autorizadas e reforçar políticas de privilégio mínimo nos endpoints.
🔗 Referências úteis
- CVE-2025-26624 – Detalhes técnicos no NVD
- Guia da Microsoft sobre práticas seguras de carregamento de binários
- Vídeo e PoC disponíveis no [Google Drive dos pesquisadores]
Conclusão:
Falhas como essa reforçam a importância de práticas seguras na instalação de softwares — especialmente em ambientes corporativos. Uma simples distração, como executar um instalador na pasta errada, pode ser o ponto de entrada para comprometer todo o sistema.
