漏洞摘要 該漏洞在 2026/2/10 釋出,該漏洞是透過 Notepad 新增的 Markdown 渲染引擎 (Markdown Parser) 在處理超連結時,未對 URI Scheme 實施參數過濾 (Improper Sanitization),可能下載惡意程式或執行惡意行為的 RCE 漏洞。

修補建議 針對 CVE-2026–20841 (Windows Notepad RCE),微軟已發布安全更新,在更新的版本中,Microsoft 針對 Markdown 渲染引擎實施了嚴格的 Protocol Whitelisting (僅允許 http/https,阻擋 file/ms-settings 等) 或完全移除了對特定 URI Scheme 的自動解析能力。

詳細資訊可以參考微軟的網站說明

None
CVE-2026–20841

LAB 測試

免則聲明/Disclaimer:

本文僅供資安教育與防禦研究使用,所有實驗皆於封閉合法測試環境中進行,作者不對任何未經授權之利用行為負責。本文亦不提供任何可執行檔案、腳本或下載連結

攻擊情境:受害者下載了可疑的 md 檔後,透過未更新的 notepad 開啟,並點擊了釣魚連結,無意中執行了 C2 連線

這次測試利用了 CVE-2026–20841 (Notepad RCE) 作為初始進入點,並結合 Living off the Land (LotL) 技術來規避防禦,實務上該攻擊可以搭配釣魚郵件來獲得初始進入點

  • 載體:惡意 Markdown 檔案 (PoC.md)。
  • 觸發點:利用 Notepad 對 Markdown 渲染時未過濾 file:// 協議的漏洞
  • 誘餌:為了保護個資…..(指向攻擊者的 SMB Server)

圖 1 是 md 檔實際內容,點擊記事本中 Markdown 語法,會變成圖 2 顯示的樣子

None

攻擊者可能會利用社交工程誘使受害人點擊連結,當受害者點擊後會直接執行後門程式

None

由於直接執行 bat 的話 cmd 會有視窗跳出來,為了規避使用者察覺與繞過部分靜態偵測,攻擊者可能會利用 WScript.exe 載入 VBScript 來隱藏 cmd 視窗執行

一旦使用者互動觸發連結,Notepad 會成為一連串子行程的起點,進而觸發如 VBScript 或 PowerShell 的遠端執行行為。這類「父子行程鏈(Process Chain)」特徵有助於在 EDR 內進行防禦行為建模。

連線成功建立,獲得shell

None
C2 Session Established

IOCs 與偵測邏輯

  • 檢視異常父子進程 (Parent-Child Relationship) Notepad.exe 通常不應作為父進程 (Parent Process) 產生具有網路行為或執行能力的子進程。
  • 網路行為特徵 監控 Notepad.exe 發起的 Outbound Connection,特別是針對 SMB (Port 445) 或 WebDAV (Port 80/443) 的連線請求。
  • 事件日誌 (Event Logs) Event ID 4688 :檢查父子進程關係 Event ID 4104 :若攻擊者使用 PowerShell 下載 Payload,可以透過該 log 調查行為

總結

雖然 CVE-2026–20841 屬於需要使用者互動的漏洞,且技術門檻不高,但其利用了使用者對記事本這個受信應用程式的低戒心。

企業應盡快盤點環境內的 Notepad 版本(需高於 11.2510),並在 EDR/SIEM 端部屬針對 Notepad 異常衍生進程的偵測規則,到這邊本次的測試就結束了,謝謝大家