Rijksoverheid logo
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Welkom bij de vernieuwde website van het versterkte NCSC

Jouw helpende hand in cybersecurity. Kijk gerust rond of lees meer over de vernieuwde cybersecurityorganisatie.

Kwetsbaarheid Notepad ++

Cyber alerts
12 december 2025
Er is een kwetsbaarheid in Notepad++ gevonden waarmee het mogelijk is om malafide updates naar gebruikers te pushen. Momenteel zijn voor zover bekend uitsluitend organisaties met belangen in Oost-Azië slachtoffer van gerichte aanvallen. Het NCSC heeft vooralsnog geen aanwijzing dat ook in Nederland actief misbruik heeft plaatsgevonden.

Op 2 december heeft beveiligingsonderzoeker Kevin Beaumont een blogpost gepubliceerd over de kwetsbaarheid in Notepad++. In deze blogpost geeft hij aan gesproken te hebben met enkele organisaties waar sinds begin oktober misbruik van deze kwetsbaarheid heeft plaatsgevonden.

Gezien de aard van de kwetsbaarheid ligt breed misbruik hiervan niet voor de hand. De beperkte gevallen waarin het misbruik, voor zover bekend, heeft plaatsgevonden en de uitzonderlijke positie die het vereist om daadwerkelijk misbruik van de kwetsbaarheid te kunnen maken versterken dit beeld.

De kwetsbaarheid

De kwetsbaarheid zit in de door Notepad++ gebruikte updater genaamd GUP / WinGUP en kan slechts worden misbruikt indien de actor in de positie is om het verkeer tussen de client en Notepad++ updateserver op te vangen en aan te passen.

In eerdere versies van Notepad++ vond dit verkeer nog plaats via HTTP. Daarnaast heeft Notepad++ reeds in november 2025 in een update (v.8.8.8) een aanpassing gedaan waardoor de updatebestanden afkomstig moeten zijn van een hardcoded Github pagina.

Op 9 december heeft Notepad++ een update uitgebracht (v.8.8.9) waarin het gebruikte certificaat en de signature van het gedownloade updatebestand worden geverifieerd. In een eerdere update (v.8.8.7) is het destijds gebruikte self signed root certificaat van Notepad++ al vervangen door een certificaat van GlobalSign.

Handelingsperspectief

Update Notepad++ naar de nieuwste versie (v.8.8.9). Vanaf versie v.8.8.8 lijkt het risico op misbruik ook al vrij beperkt, aangezien vanaf die versie gecontroleerd wordt of het aangeboden updatebestand uit de 'gup.xml' afkomstig is van de officiële Notepad++ pagina op GitHub.

Bij twijfels over eerdere compromittatie kunnen de volgende acties worden ondernomen:

  • Controleer of gup.exe netwerkverbinding heeft gemaakt met andere domeinen dan notepad-plus-plus.org, github.com en release-assets.githubusercontent.com.
  • Controleer gup.exe op ongebruikelijke subprocessen, dat wil zeggen andere processen dan explorer.exe en Notepad++ installer processen die beginnen met 'npp' (bijvoorbeeld: npp.8.8.8.Installer.exe).
  • Controleer de user TEMP folder op bestanden genaamd update.exe en AutoUpdater.exe, aangezien dit bestandsnamen zijn die in het Notepad++ updateproces niet gebruikt worden.

Indien jouw organisatie getroffen is door misbruik van deze kwetsbaarheid, of als je naar aanleiding van dit bericht vragen hebt, word verzocht om via cert@ncsc.nl contact met ons op te nemen.

Formulier
Heeft deze pagina je geholpen?