該漏洞(CVE-2025–49144)於 2025 年 6 月釋出，原理是安裝程式 (Installer) 在呼叫系統工具 regsvr32.exe 時，未指定絕對路徑，攻擊者利用該漏洞建立一個同樣名稱為regsvr32.exe的惡意執行檔，將兩個檔案放置在同一個目錄中。當用戶執行安裝程式時，由於易受攻擊的搜尋路徑行為，安裝程式會在不知情的情況下載入惡意的 regsvr32.exe。

該惡意二進位檔案隨後會以 SYSTEM 等級的權限執行，允許非特權使用者取得 SYSTEM 等級的權限，從而授予攻擊者完整的系統管理員存取權限

regsvr32.exe 的功能是用於註冊 COM 元件到系統的合法工具，以供後續應用程式可以順利載入 DLL

受害者通常會透過社交工程或釣魚網站等手段，被誘騙下載合法的 Notepad++ 安裝程式和惡意檔案的壓縮檔

修補建議 針對 CVE-2025–49144，Notepad++已經提供 8.8.2 版本修復此漏洞

詳細資訊可以參考 Notepad++ 官網的網站說明

• 受影響版本 (Vulnerable)：Notepad++ < 8.8.1
• 官方公告：Notepad++ v8.8.2 release | Notepad++

LAB 測試

免責聲明/Disclaimer:

本文僅供資安教育與防禦研究使用，所有實驗皆於封閉合法測試環境中進行，作者不對任何未經授權之利用行為負責。本文亦不提供任何可執行檔案、腳本或下載連結。

攻擊情境:攻擊者在初步進入環境後，為了提升權限下載了受漏洞影響版本的 Notepad++以及惡意執行檔 regsvr32.exe 至同個目錄，並開始安裝，最後獲得 SYSTEM 權限執行的惡意執行檔 regsvr32.exe

這次測試是以攻擊者已經獲得一般使用的存取權限角度進行，後續利用了 CVE-2025–49144 作為進一步提權手段，實務上該攻擊可能是搭配釣魚郵件來直接獲得高權初始進入點(後門)

• Payload：惡意執行檔 regsvr32.exe
• 觸發點：點擊 Notepad++ 安裝檔

圖 1 是 notepad++ 8.8.1 安裝檔與惡意執行檔案同個目錄下

進行安裝

監聽 1234 port

notepad++ 安裝成功

安裝完的同時，測試攻擊者也獲得了高權SYSTEM shell，並執行 whoami 確認權限

Mitre ATT&CK

本次範例漏洞攻擊軌跡的攻擊軌跡

TA004 Privilege Escalation > TA005 Defense Evasion > TA007 Discovery

主要攻擊的戰術為 T1574(Hijack Execution Flow)

Tactics: Privilege Escalation, Defense Evasion

安裝後劫持 regsvr32.exe

惡意程式 regsvr32.exe 執行經過混淆的程式碼

最後獲得 shell 透過指令 whoami 確認權限

IOCs 與偵測邏輯

• 檢視異常檔案建立 正常來說 regsvr32.exe 只會在 C:\Windows\System32\ 或C:\Windows\SysWOW64\ 目錄下，如果偵測到 regsvr32.exe 被寫入到正常位置以外就該注意
• Process 行為特徵 監控 regsvr32.exe 的 ImagePath 路徑是否不在合法路徑上 監控 regsvr32.exe 是否帶起 cmd.exe/powershell.exe 等高風險行為

總結

由於 Notepad++ 的使用者相當廣泛，CVE-2025–49144 漏洞可能作為攻擊鏈的一個手段對使用者環境造成重大影響，雖然該漏洞被揭漏於 2025 年，但還是很多企業使用者尚未更新，建議企業應盡快盤點環境內的 Notepad++ 並更新至最新版本，到這邊本次的測試就結束了，謝謝大家