ใครใช้ Notepad++ ระวังตัว! เผยช่องโหว่ร้ายแรง เสี่ยงโดนยึดเครื่องถึงระดับ System ผ่านไฟล์ติดตั้งปลอม
กลายเป็นประเด็นร้อนที่ทำเอาโปรแกรมเมอร์และฝ่ายไอทีทั่วโลกต้องนั่งไม่ติดเก้าอี้ เมื่อมีการค้นพบช่องโหว่ระดับวิกฤต (Critical) ในโปรแกรมแก้ไขข้อความยอดนิยมอย่าง Notepad++ เวอร์ชัน 8.8.1 และต่ำกว่า ซึ่งถูกระบุรหัสช่องโหว่เป็น CVE-2025-49144 ความน่ากลัวของช่องโหว่นี้คือเปิดโอกาสให้แฮกเกอร์สามารถยกระดับสิทธิ์ (Privilege Escalation) ขึ้นไปเป็นระดับสูงสุดของระบบ (SYSTEM privileges) ได้อย่างง่ายดาย เพียงแค่หลอกให้เหยื่อดาวน์โหลดไฟล์ติดตั้งโปรแกรมที่มียาพิษซ่อนอยู่ โดยมีรายงานว่าพบ Proof-of-Concept (PoC) หรือโค้ดตัวอย่างการโจมตีถูกเผยแพร่ออกมาแล้ว ทำให้ความเสี่ยงที่ผู้ใช้งานทั่วไปจะตกเป็นเหยื่อมีสูงมาก
กลลวง “Binary Planting” วางกับดักในโฟลเดอร์เดียว
หัวใจสำคัญของการโจมตีครั้งนี้อยู่ที่เทคนิคที่เรียกว่า “Binary Planting” ซึ่งอาศัยความเชื่อใจของระบบปฏิบัติการ Windows ในการค้นหาไฟล์ โดยแฮกเกอร์จะสร้างไฟล์อันตรายชื่อ regsvr32.exe ขึ้นมา แล้วนำไปวางไว้ในโฟลเดอร์เดียวกับตัวติดตั้ง Notepad++ (เช่น ในโฟลเดอร์ Downloads) เมื่อผู้ใช้หลงกลกดรันไฟล์ติดตั้งโปรแกรม ระบบ Windows จะเผลอไปเรียกใช้ไฟล์อันตรายที่วางดักรออยู่ก่อนแทนที่จะเป็นไฟล์ระบบของจริง ส่งผลให้โค้ดร้ายทำงานทันทีภายใต้สิทธิ์ของผู้ติดตั้ง ซึ่งถ้าผู้ใช้กดติดตั้งด้วยสิทธิ์ Admin แฮกเกอร์ก็จะได้กุญแจผีที่สามารถยึดครองเครื่องได้เบ็ดเสร็จ ทั้งการสั่งรัน Command Prompt, แก้ไขไฟล์ระบบ หรือแอบติดตั้งมัลแวร์ฝังตัวระยะยาว
ทางรอดเดียวคือ “อัปเดต” และเลิกโหลดจากแหล่งเถื่อน
ข่าวดีคือทางผู้พัฒนา Notepad++ ไม่ได้นิ่งนอนใจและได้ปล่อยอัปเดตเวอร์ชัน 8.8.2 ออกมาอุดช่องโหว่นี้เรียบร้อยแล้ว โดยแก้ไขกลไกการค้นหาไฟล์ DLL และไฟล์ระบบให้รัดกุมยิ่งขึ้น ดังนั้นสิ่งที่ผู้ใช้งานต้องทำทันทีคือการกดอัปเดตโปรแกรมให้เป็นเวอร์ชันล่าสุด นอกจากนี้ ผู้เชี่ยวชาญด้านความปลอดภัยยังย้ำเตือนกฎเหล็กที่ห้ามมองข้ามเด็ดขาด คือการดาวน์โหลดโปรแกรมจากเว็บไซต์ทางการของผู้พัฒนาเท่านั้น และควรหลีกเลี่ยงการเปิดไฟล์ติดตั้งที่ถูกส่งต่อมาจากแหล่งที่ไม่น่าเชื่อถือ หรือไฟล์ที่ถูกบีบอัดรวมมากับโปรแกรมอื่น เพราะนั่นอาจเป็นม้าโทรอยที่แฮกเกอร์เตรียมไว้โจมตีคุณโดยไม่รู้ตัว