“พบช่องโหว่ DLL Hijacking ใน Notepad++ v8.8.3 — เปิดทางรันโค้ดอันตรายแบบแนบเนียน พร้อม PoC บน GitHub”

ช่องโหว่ใหม่ที่ถูกเปิดเผยใน Notepad++ เวอร์ชัน 8.8.3 ได้รับรหัส CVE-2025-56383 โดยเป็นช่องโหว่แบบ DLL Hijacking ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถแทรกโค้ดอันตรายเข้าไปในโปรแกรมได้อย่างแนบเนียน โดยการแทนที่ไฟล์ DLL ที่โปรแกรมโหลดอัตโนมัติ เช่น NppExport.dll ด้วยไฟล์ DLL ปลอมที่มีโค้ดอันตรายแฝงอยู่

เมื่อผู้ใช้เปิด Notepad++ โปรแกรมจะโหลด DLL ปลอมแทนของจริง และรันโค้ดอันตรายทันที โดยยังคงฟังก์ชันเดิมไว้ผ่านการ forward ไปยัง DLL ต้นฉบับ ทำให้ผู้ใช้ไม่รู้ตัวว่าเกิดการโจมตีขึ้น

ช่องโหว่นี้ต้องอาศัยการเข้าถึงเครื่องในระดับ local หรือสามารถวางไฟล์ DLL ในโฟลเดอร์ติดตั้งของ Notepad++ ได้ ซึ่งอาจเกิดจากการโจมตีแบบ supply chain, installer ที่ถูกฝังมัลแวร์ หรือแม้แต่ภัยจากคนในองค์กรเอง

มีการเผยแพร่ Proof-of-Concept (PoC) บน GitHub พร้อมภาพแสดงขั้นตอนการโจมตี ทำให้ช่องโหว่นี้มีความเสี่ยงสูงต่อการถูกนำไปใช้จริง โดยเฉพาะเมื่อ Notepad++ เป็นเครื่องมือยอดนิยมในหมู่นักพัฒนาและผู้ดูแลระบบ

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-56383 เป็น DLL Hijacking ใน Notepad++ v8.8.3
ผู้โจมตีสามารถแทนที่ DLL เช่น NppExport.dll ด้วย DLL ปลอมที่มีโค้ดอันตราย
เมื่อเปิดโปรแกรม Notepad++ โค้ดอันตรายจะถูกรันทันที
DLL ปลอมยังคงฟังก์ชันเดิมไว้ผ่านการ forward ไปยัง DLL จริง
ช่องโหว่นี้ต้องอาศัยการเข้าถึงเครื่องหรือวางไฟล์ในโฟลเดอร์ติดตั้ง
มีการเผยแพร่ PoC บน GitHub พร้อมภาพแสดงการโจมตี
ช่องโหว่นี้เพิ่มความเสี่ยงต่อการโจมตีแบบ persistence และ privilege escalation
อาจถูกใช้ในแคมเปญ supply chain, installer ปลอม หรือภัยจากคนในองค์กร
Notepad++ เป็นเครื่องมือที่มีผู้ใช้งานจำนวนมากในสายงานเทคนิค

ข้อมูลเสริมจากภายนอก
DLL Hijacking เป็นเทคนิคที่ใช้กันมานานในการโจมตี Windows application
โปรแกรมที่โหลด DLL โดยไม่ระบุ path แบบปลอดภัยมีความเสี่ยงสูง
การ forward ฟังก์ชันไปยัง DLL จริงช่วยให้ผู้ใช้ไม่รู้ตัวว่าเกิดการโจมตี
ช่องโหว่ลักษณะนี้มักถูกใช้ร่วมกับมัลแวร์เพื่อสร้าง persistence
การตรวจสอบ integrity ของ DLL และการจำกัดสิทธิ์การเขียนไฟล์ในโฟลเดอร์ติดตั้งเป็นแนวทางป้องกัน

https://securityonline.info/dll-hijacking-flaw-cve-2025-56383-found-in-notepad-allowing-arbitrary-code-execution-poc-available/
🛠️ “พบช่องโหว่ DLL Hijacking ใน Notepad++ v8.8.3 — เปิดทางรันโค้ดอันตรายแบบแนบเนียน พร้อม PoC บน GitHub” ช่องโหว่ใหม่ที่ถูกเปิดเผยใน Notepad++ เวอร์ชัน 8.8.3 ได้รับรหัส CVE-2025-56383 โดยเป็นช่องโหว่แบบ DLL Hijacking ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถแทรกโค้ดอันตรายเข้าไปในโปรแกรมได้อย่างแนบเนียน โดยการแทนที่ไฟล์ DLL ที่โปรแกรมโหลดอัตโนมัติ เช่น NppExport.dll ด้วยไฟล์ DLL ปลอมที่มีโค้ดอันตรายแฝงอยู่ เมื่อผู้ใช้เปิด Notepad++ โปรแกรมจะโหลด DLL ปลอมแทนของจริง และรันโค้ดอันตรายทันที โดยยังคงฟังก์ชันเดิมไว้ผ่านการ forward ไปยัง DLL ต้นฉบับ ทำให้ผู้ใช้ไม่รู้ตัวว่าเกิดการโจมตีขึ้น ช่องโหว่นี้ต้องอาศัยการเข้าถึงเครื่องในระดับ local หรือสามารถวางไฟล์ DLL ในโฟลเดอร์ติดตั้งของ Notepad++ ได้ ซึ่งอาจเกิดจากการโจมตีแบบ supply chain, installer ที่ถูกฝังมัลแวร์ หรือแม้แต่ภัยจากคนในองค์กรเอง มีการเผยแพร่ Proof-of-Concept (PoC) บน GitHub พร้อมภาพแสดงขั้นตอนการโจมตี ทำให้ช่องโหว่นี้มีความเสี่ยงสูงต่อการถูกนำไปใช้จริง โดยเฉพาะเมื่อ Notepad++ เป็นเครื่องมือยอดนิยมในหมู่นักพัฒนาและผู้ดูแลระบบ ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-56383 เป็น DLL Hijacking ใน Notepad++ v8.8.3 ➡️ ผู้โจมตีสามารถแทนที่ DLL เช่น NppExport.dll ด้วย DLL ปลอมที่มีโค้ดอันตราย ➡️ เมื่อเปิดโปรแกรม Notepad++ โค้ดอันตรายจะถูกรันทันที ➡️ DLL ปลอมยังคงฟังก์ชันเดิมไว้ผ่านการ forward ไปยัง DLL จริง ➡️ ช่องโหว่นี้ต้องอาศัยการเข้าถึงเครื่องหรือวางไฟล์ในโฟลเดอร์ติดตั้ง ➡️ มีการเผยแพร่ PoC บน GitHub พร้อมภาพแสดงการโจมตี ➡️ ช่องโหว่นี้เพิ่มความเสี่ยงต่อการโจมตีแบบ persistence และ privilege escalation ➡️ อาจถูกใช้ในแคมเปญ supply chain, installer ปลอม หรือภัยจากคนในองค์กร ➡️ Notepad++ เป็นเครื่องมือที่มีผู้ใช้งานจำนวนมากในสายงานเทคนิค ✅ ข้อมูลเสริมจากภายนอก ➡️ DLL Hijacking เป็นเทคนิคที่ใช้กันมานานในการโจมตี Windows application ➡️ โปรแกรมที่โหลด DLL โดยไม่ระบุ path แบบปลอดภัยมีความเสี่ยงสูง ➡️ การ forward ฟังก์ชันไปยัง DLL จริงช่วยให้ผู้ใช้ไม่รู้ตัวว่าเกิดการโจมตี ➡️ ช่องโหว่ลักษณะนี้มักถูกใช้ร่วมกับมัลแวร์เพื่อสร้าง persistence ➡️ การตรวจสอบ integrity ของ DLL และการจำกัดสิทธิ์การเขียนไฟล์ในโฟลเดอร์ติดตั้งเป็นแนวทางป้องกัน https://securityonline.info/dll-hijacking-flaw-cve-2025-56383-found-in-notepad-allowing-arbitrary-code-execution-poc-available/
SECURITYONLINE.INFO
DLL Hijacking Flaw (CVE-2025-56383) Found in Notepad++, Allowing Arbitrary Code Execution, PoC Available
A DLL hijacking flaw (CVE-2025-56383) in Notepad++ v8.8.3 allows attackers to replace a trusted DLL with a malicious one to execute arbitrary code.
0 Comments 0 Shares 106 Views 0 Reviews