Το δημοφιλές πρόγραμμα επεξεργασίας κειμένου Notepad++ αντιμετώπισε μια σοβαρή αδυναμία ασφαλείας στον μηχανισμό ενημέρωσης που θα μπορούσε να επιτρέψει στους εισβολείς να παραβιάσουν την κυκλοφορία του δικτύου και να προωθήσουν κακόβουλα εκτελέσιμα αρχεία στους χρήστες με το πρόσχημα των νόμιμων ενημερώσεων.
Οι ερευνητές ασφαλείας παρατήρησαν πρόσφατα ύποπτα μοτίβα κυκλοφορίας που αφορούν το WinGUp, το ενσωματωμένο πρόγραμμα ενημέρωσης που χρησιμοποιείται από το Notepad++.
Σύμφωνα με τα ευρήματά τους, τα αιτήματα ενημέρωσης, σε ορισμένες περιπτώσεις, ανακατευθύνονταν σε κακόβουλους διακομιστές. Αντί να ανακτήσει γνήσια προγράμματα εγκατάστασης Notepad++, το πρόγραμμα ενημέρωσης κατέβασε παραβιασμένα δυαδικά αρχεία, δημιουργώντας ένα σιωπηλό κανάλι παράδοσης κακόβουλου λογισμικού.
Μια εσωτερική αναθεώρηση των αναφορών οδήγησε στην ανακάλυψη ενός ελαττώματος στον τρόπο με τον οποίο το WinGUp επικύρωσε την ακεραιότητα και την αυθεντικότητα των ληφθέντων αρχείων ενημέρωσης.
Υπό ορισμένες συνθήκες, εάν ένας εισβολέας μπορούσε να υποκλέψει ή να χειραγωγήσει την κυκλοφορία δικτύου μεταξύ του προγράμματος-πελάτη ενημέρωσης του Notepad++ και της επίσημης υποδομής ενημέρωσης, αυτή η αδυναμία θα μπορούσε να εκμεταλλευτεί για να αντικαταστήσει το νόμιμο πρόγραμμα εγκατάστασης με ένα απατεώνα δυαδικό αρχείο.
Σε ένα τέτοιο σενάριο, το πρόγραμμα ενημέρωσης θα μπορούσε να εξαπατηθεί ώστε να κατεβάσει και να εκτελέσει κακόβουλο λογισμικό, ενώ φαίνεται να εκτελεί μια συνηθισμένη ενημέρωση λογισμικού. Αυτός ο τύπος επίθεσης ευθυγραμμίζεται με τις κλασικές τεχνικές man-in-the-middle ή traffic-hijacking που παρατηρούνται συχνά σε συμβιβασμούς στην αλυσίδα εφοδιασμού και στο κανάλι ενημέρωσης.
Βελτιώσεις ασφαλείας στην τελευταία έκδοση
Για να μετριαστεί το πρόβλημα και να αντιμετωπιστούν οι ανησυχίες που εγείρουν οι ερευνητές, η τελευταία έκδοση του Notepad++ εισάγει αυστηρότερη επαλήθευση κατά τη διαδικασία ενημέρωσης.
Τόσο το Notepad++ όσο και το WinGUp έχουν πλέον σκληρυνθεί για να επαληθεύσουν την ψηφιακή υπογραφή και το πιστοποιητικό των ληφθέντων προγραμμάτων εγκατάστασης πριν συνεχίσετε.
Εάν ο έλεγχος υπογραφής ή πιστοποιητικού αποτύχει, η διαδικασία ενημέρωσης διακόπτεται αμέσως, αποτρέποντας την εκτέλεση μη αξιόπιστου κώδικα. Οι προγραμματιστές του Notepad++ έχουν δηλώσει ότι η έρευνα για την ακριβή μέθοδο αεροπειρατείας εξακολουθεί να βρίσκεται σε εξέλιξη και οι χρήστες θα ενημερωθούν μόλις διαπιστωθούν συγκεκριμένα στοιχεία για τον φορέα επίθεσης.
Ξεχωριστά, ξεκινώντας από την έκδοση 8.8.7, όλα τα δυαδικά αρχεία του Notepad++, συμπεριλαμβανομένου του προγράμματος εγκατάστασης, υπογράφονται ψηφιακά χρησιμοποιώντας ένα νόμιμο πιστοποιητικό που εκδίδεται από την GlobalSign.
Αυτό η αλλαγή αφαιρεί την ανάγκη για τους χρήστες να εγκαταστήσουν ένα προσαρμοσμένο πιστοποιητικό ρίζας Notepad++. Το έργο τώρα συνιστά να αφαιρεθούν τυχόν πιστοποιητικά ρίζας του Notepad++ που έχουν εγκατασταθεί προηγουμένως για να μειωθούν οι περιττές αγκυρώσεις αξιοπιστίας.
Η νέα έκδοση 8.8.9 περιλαμβάνει αυτές τις βελτιώσεις ασφαλείας μαζί με αρκετές διορθώσεις σφαλμάτων και πρόσθετες βελτιώσεις. Συνιστάται στους χρήστες να κάνουν αναβάθμιση στην πιο πρόσφατη έκδοση και να αποκτήσουν προγράμματα εγκατάστασης μόνο από τον επίσημο ιστότοπο του Notepad++, όπου διατίθενται το πλήρες αρχείο καταγραφής αλλαγών και οι σύνδεσμοι λήψης για την έκδοση 8.8.9.
Related Posts
Χάκερ φέρεται να ισχυρίζονται ότι έχει διαρρεύσει πηγαίου κώδικα της LG, SMTP και ενσωματωμένων διαπιστευτηρίων
Χάκερ που χρησιμοποιούν το νέο Matrix Push C2 για να παραδώσουν επιθέσεις κακόβουλου λογισμικού και phishing μέσω προγράμματος περιήγησης στο Web
Χάκερ που χρησιμοποιούν Leverage Tuoni C2 Framework Tool για να παραδίδουν μυστικά ωφέλιμα φορτία στη μνήμη
