Aviso de seguridad
Nivel de peligrosidad: Alto
Descripción
Durante la instalación desde una carpeta de usuario (como Descargas), el instalador busca ejecutables sin rutas absolutas, lo que permite que un atacante coloque un archivo malicioso (como regsvr32.exe) en la misma carpeta. Al ejecutar el instalador, este ejecuta el binario malicioso con privilegios SYSTEM, permitiendo control total del sistema.
Recursos afectados
- Notepad++ instalador versión 8.8.1 y anteriores.
- Sistemas Windows donde se ejecute el instalador desde una carpeta con permisos de escritura por el usuario.
Solución
Actualizar a la versión 8.8.2 del instalador de Notepad++, la cual incluye rutas absolutas para binarios críticos como regsvr32.exe.
Recomendaciones
- Actualizar inmediatamente a Notepad++ 8.8.2 o superior.
- Ejecutar instaladores solo desde directorios de sistema (por ejemplo, C:\Temp no seguro).
- Implementar restricciones (AppLocker, SRP, WDAC) que bloqueen la ejecución de binarios en carpetas de usuario —especialmente regsvr32.exe.
- Aplicar políticas de lista blanca y monitoreo de integridad en rutas de instalación.
Referencias