CVE-2025-15556

Суть уязвимости

Уязвимость CVE-2025-15556 относится к классу CWE-494 (Download of Code Without Integrity Check) и затрагивает компонент WinGUp, который используется для автоматического обновления редактора Notepad++.

Проблема заключается в том, что в уязвимых версиях процесс обновления не производит должной криптографической проверки целостности (например, проверки цифровой подписи Authenticode или сверки хэш-сумм) скачанного исполняемого файла перед его запуском.

Если злоумышленник находится в позиции "человек посередине" (MitM) — например, контролирует публичную Wi-Fi сеть, скомпрометировал DNS-сервер или использует ARP-spoofing — он может перехватить HTTP/HTTPS-запрос от WinGUp и подменить легитимный установщик обновления на вредоносный файл. В результате утилита обновления запустит этот файл, что приведет к выполнению произвольного кода (Arbitrary Code Execution) с правами пользователя, запустившего Notepad++.

Как исправить

Единственным надежным способом полного устранения данной уязвимости является обновление Notepad++ до актуальной версии, в которой разработчики исправили логику работы WinGUp (добавили обязательную проверку цифровой подписи или хэша скачиваемого апдейта).

Поскольку сам встроенный механизм обновления скомпрометирован уязвимостью, обновление необходимо производить вручную:

1. Перейдите на официальный сайт разработчика (строго по протоколу HTTPS).
2. Скачайте последнюю версию установщика Notepad++.
3. Закройте все запущенные экземпляры Notepad++ на целевой рабочей станции.
4. Запустите скачанный установщик и следуйте инструкциям на экране для перезаписи уязвимой версии.

Для массового обновления в корпоративной среде используйте системы управления конфигурациями (SCCM, GPO, Ansible), предварительно скачав безопасный MSI/EXE пакет с официального сайта.

Временные меры

Если немедленное обновление инфраструктуры невозможно, необходимо применить компенсирующие меры для предотвращения эксплуатации уязвимости.

1. Отключение компонента обновления (переименование/удаление) Самый надежный способ предотвратить запуск уязвимого компонента — лишить систему доступа к исполняемому файлу апдейтера gup.exe.

Rename-Item -Path "C:\Program Files\Notepad++\updater\gup.exe" -NewName "gup.exe.bak" -ErrorAction SilentlyContinue

Rename-Item -Path "C:\Program Files (x86)\Notepad++\updater\gup.exe" -NewName "gup.exe.bak" -ErrorAction SilentlyContinue

2. Блокировка сетевого доступа для апдейтера через Брандмауэр Windows Запрет исходящего трафика для процесса gup.exe предотвратит возможность скачивания как легитимных, так и подменных файлов.

New-NetFirewallRule -DisplayName "Block Notepad++ WinGUp Updater" -Direction Outbound -Program "C:\Program Files\Notepad++\updater\gup.exe" -Action Block

3. Отключение автоматических обновлений через конфигурацию Вы можете отключить проверку обновлений в настройках самого Notepad++, изменив конфигурационный файл config.xml (обычно находится в %APPDATA%\Notepad++\config.xml). Необходимо найти тег <GUIConfig name="noUpdate"> и установить его значение в yes.

4. Использование AppLocker или WDAC В корпоративной среде рекомендуется создать правило AppLocker, запрещающее выполнение файла gup.exe по его пути или хэшу, чтобы предотвратить запуск уязвимого компонента даже при попытке ручного вызова пользователем.