Notepad++ の DLL ハイジャック脆弱性 CVE-2025-56383:No Patch/Yes PoC

Notepad++ DLL Hijacking Vulnerability Let Attackers Execute Malicious Code

2025/09/29 CyberSecurityNews — 広く普及している Notepad++ に新たに発見された、DLL ハイジャックの脆弱性 CVE-2025-56383 を悪用する攻撃者は、被害者のマシン上で任意のコード実行の可能性を得る。この脆弱性はバージョン 8.8.3 に存在し、すべてのバージョンの Notepad++ に影響を与える可能性があり、数百万人のユーザーが危険にさらされている。

この脆弱性を悪用するローカルの攻撃者は、アプリケーションが読み込みディレクトリに悪意の DLL ファイルを埋め込むことで、コード実行を可能にする。この種の攻撃によりアプリケーションの整合性が損なわれ、侵入したシステム上での永続性の確立や、権限昇格などに悪用される可能性がある。

PoC エクスプロイトの公開

この DLL ハイジャックという手口は、Windows アプリケーションが必要なライブラリを検索して読み込む方法を悪用するものだ。アプリケーションがフルパスを指定せずに DLL を検索する場合に、事前に定義された順序で複数のディレクトリが検索される可能性がある。

したがって、攻撃者は正規の DLL と同名の悪意の DLL を、実際のライブラリのディレクトリよりも先に検索される場所に配置できる。その結果として、ユーザーがアプリケーションを起動するときに、意図した DLL ではなく、悪意の DLL が読み込まれ、実行される。

Notepad++ のケースでは、プラグインに関連付けられた DLL を標的とする攻撃で、この脆弱性が悪用される可能性がある。PoC エクスプロイトによると、攻撃者は “Notepad++\plugins\NppExport\” ディレクトリにある “NppExport.dll” などのプラグイン・ファイルを、自身で細工した悪意の DLL に置き換えることができる。

したがって攻撃者は、オリジナルの正規 DLL の名前を変更 (例: original-NppExport.dll) し、置き換えた悪意の DLL に、すべての関数呼び出しを転送させることが可能となる。

このプロキシと呼ばれる手法により、悪意のペイロードがバックグラウンドで実行されている間も、ユーザーにはアプリケーションの動作がシームレスであるように見える。

提供される以下の例は、このファイル置換を示している。正規の “original-NppExport.dll” と比べて、悪意の “NppExport.dll” は大幅にサイズが小さく、異なるコードで構成されていることを示している。

Malicious File

“Notepad++.exe” が起動されると、このアプリケーションは悪意の DLL を読み込み、攻撃者のコードを実行する。

以下のように、テストメッセージ・ボックスが表示され、Notepad++ を実行しているユーザーと同じ権限で、悪意のコードが実行されたことが確認され、エクスプロイトの成功が実証された。

DLL Hijacking Test
DLL Hijacking Test
緩和策

この脆弱性による主たる脅威は、ローカル・コード実行である。この攻撃の前提条件として、マルウェア/フィッシングなどの手段でシステムへの初期アクセスを取得している攻撃者は、この脆弱性を悪用して攻撃を継続できる。

Notepad++ のような、一般的なアプリケーションの DLL をハイジャックすることで、ユーザーがエディタを開くたびに攻撃者のコードが実行され、システムの再起動後もマルウェアが生き残る可能性がある。

このデモは、公式の “npp.8.8.3.Installer.x64.exe” 経由でインストールされた Notepad++ v8.8.3 で実施されたが、その根本的な問題はアプリケーションがコンポーネントをロードする方法に関係する。したがって、どのバージョンがインストールされていても、この脆弱性が存在する可能性がある。

現時点において、脆弱性 CVE-2025-56383 に対処する公式パッチは、Notepad++ 開発者から提供されていない。したがってユーザーに推奨されるのは、システムが感染していないことの確認であり、今後においても注意を払う必要がある。

システム管理者が検討すべきは、アプリケーション・ディレクトリにファイル整合性の監視を実装し、不正な変更を検出することだ。

修正プログラムがリリースされるまでの間、ユーザーにとって必要なことは、ダウンロードを Notepad++ の公式ソースだけに限定し、アプリケーションの予期しない動作に注意することだ。

Notepad++ の DLL ハイジャック脆弱性は、DLL をフルパス指定せずに検索する実装の弱点に起因しています。攻撃者が、プラグイン・ディレクトリを書き換え可能な状況であれば、正規 DLL と同名の悪意 DLL が先に読まれ、アプリ起動時に任意コードが実行されてしまいます。No Patch/Yes PoC という状況ですので、ご利用のチームは、ご注意ください。よろしければ、DLL Sideloading で検索を、ご参照ください。