微软已在 2026 年 2 月补丁星期二更新周期中修复了现代版 Windows 记事本应用中的一个高危远程代码执行（RCE）漏洞（CVE-2026-20841）。该漏洞源于命令注入，最初由 Delta Obscura 公司的 Cristian Papa 和 Alasdair Gorniak 发现，后经 TrendAI 研究团队的 Nikolai Skliarenko 和 Yazhi Wang 深入分析。

漏洞利用原理

攻击者只需诱骗用户打开特制的 Markdown 文件并点击恶意超链接，就能以受害者账户的安全上下文执行任意命令。现代版 Windows 记事本（通过 Microsoft Store 分发，区别于 Windows 内置的传统版 Notepad.exe）支持对 .md 扩展名文件进行 Markdown 渲染。当打开 Markdown 文件时，记事本会对其内容进行标记化处理并交互式渲染链接。

存在漏洞的函数 sub_140170F60() 处理这些链接的点击事件，在仅进行最小过滤后就将链接值传递给 Windows API 调用 ShellExecuteExW()。该过滤仅去除前导和尾随的反斜杠和正斜杠字符，未能阻止诸如 file:// 和 ms-appinstaller:// 等恶意协议 URI，攻击者可利用这些协议加载并执行远程或本地攻击者控制的文件，而不会触发标准的 Windows 安全警告。

由于 ShellExecuteExW() 会调用配置的系统协议处理程序，攻击面可能根据目标系统的配置扩展到其他协议。

攻击途径与补丁详情

根据 Zero Day Initiative 的分析报告，利用此漏洞需要攻击者通过电子邮件、下载链接或社会工程手段向受害者传送武器化文件，然后说服受害者在记事本中打开该文件并按 Ctrl+点击嵌入的恶意链接。

虽然默认情况下 .md 文件不与记事本关联，但手动打开这些文件的用户会触发 Markdown 渲染，从而使漏洞可被利用。目前 GitHub 上已公开了该漏洞的 PoC。

该漏洞影响记事本 11.2508 及更早版本，修复程序通过 Microsoft Store 在 11.2510 及更高版本中提供。传统版 Notepad.exe 不受影响。微软未列出可用的缓解措施，并将用户交互指定为漏洞利用的先决条件。企业应确保启用 Microsoft Store 自动更新，并在托管终端上强制执行版本合规性以确认完全修复。

参考来源：

PoC Released for Windows Notepad Vulnerability that Enables Malicious Command Execution

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）