Το Notepad++ έκδοση 8.8.9 κυκλοφόρησε για να διορθώσει μια αδυναμία ασφαλείας στο εργαλείο ενημέρωσης WinGUp, αφού ερευνητές και χρήστες ανέφεραν περιστατικά στα οποία το πρόγραμμα ενημέρωσης ανακτούσε κακόβουλα εκτελέσιμα αρχεία αντί για νόμιμα πακέτα ενημέρωσης.
Τα πρώτα σημάδια αυτού του ζητήματος εμφανίστηκαν στο α Θέμα φόρουμ κοινότητας Notepad++όπου ένας χρήστης ανέφερε ότι το εργαλείο ενημέρωσης του Notepad++, GUP.exe (WinGUp), δημιούργησε ένα άγνωστο εκτελέσιμο αρχείο “%Temp%\AutoUpdater.exe” που εκτελούσε εντολές για τη συλλογή πληροφοριών συσκευής.
Σύμφωνα με τον δημοσιογράφο, αυτό το κακόβουλο εκτελέσιμο εκτελούσε διάφορες εντολές αναγνώρισης και αποθήκευσε την έξοδο σε ένα αρχείο που ονομάζεται “a.txt”.
cmd /c netstat -ano >> a.txt
cmd /c systeminfo >> a.txt
cmd /c tasklist >> a.txt
cmd /c whoami >> a.txtΟ autoupdater.exe Το κακόβουλο λογισμικό χρησιμοποίησε στη συνέχεια την εντολή curl.exe για να εξάγει το αρχείο a.txt σε μια απομακρυσμένη τοποθεσία στη θερμοκρασία[.]sh.
Καθώς το GUP χρησιμοποιεί τη βιβλιοθήκη libcurl αντί της πραγματικής εντολής «curl.exe» και δεν συλλέγει αυτόν τον τύπο πληροφοριών, άλλοι χρήστες του Notepad++ υπέθεσαν ότι ο χρήστης είχε εγκαταστήσει μια ανεπίσημη, κακόβουλη έκδοση του Notepad++ ή ότι είχε παραβιαστεί η κυκλοφορία του δικτύου αυτόματης ενημέρωσης.
Για να βοηθήσει στον μετριασμό πιθανών παραβιάσεων δικτύου, ο προγραμματιστής του Notepad++ Don Ho κυκλοφόρησε την έκδοση 8.8.8 στις 18 Νοεμβρίου, έτσι ώστε οι ενημερώσεις να μπορούν να ληφθούν μόνο από το GitHub.
Ως ισχυρότερη λύση, το Notepad 8.8.9 κυκλοφόρησε στις 9 Δεκεμβρίου, το οποίο θα αποτρέψει την εγκατάσταση ενημερώσεων που δεν είναι υπογεγραμμένες με το πιστοποιητικό υπογραφής κώδικα του προγραμματιστή.
“Ξεκινώντας με αυτήν την έκδοση, το Notepad++ και το WinGUp έχουν σκληρυνθεί για την επαλήθευση της υπογραφής και του πιστοποιητικού των ληφθέντων προγραμμάτων εγκατάστασης κατά τη διαδικασία ενημέρωσης. Εάν η επαλήθευση αποτύχει, η ενημέρωση θα ματαιωθεί.” διαβάζει το Σημείωση ασφαλείας Σημειωματάριο 8.8.9.
Παραβιασμένες διευθύνσεις URL ενημέρωσης
Νωρίτερα αυτό το μήνα, ο ειδικός σε θέματα ασφάλειας Kevin Beaumont προειδοποίησε ότι άκουσε από τρεις οργανισμούς που επηρεάστηκαν από περιστατικά ασφαλείας που συνδέονται με το Notepad++.
“Έχω ακούσει από 3 οργανισμούς τώρα που είχαν περιστατικά ασφαλείας σε κουτιά με εγκατεστημένο το Notepad++, όπου φαίνεται ότι οι διαδικασίες του Notepad++ δημιούργησαν την αρχική πρόσβαση.” εξήγησε ο Beaumont.
«Αυτά είχαν ως αποτέλεσμα να έρθουν σε επαφή με το πληκτρολόγιο απειλές».
Ο ερευνητής λέει ότι όλες οι οργανώσεις για τις οποίες μίλησε έχουν ενδιαφέροντα στην Ανατολική Ασία και ότι η δραστηριότητα φαινόταν πολύ στοχευμένη, με τα θύματα να αναφέρουν πρακτικές αναγνωριστικές δραστηριότητες μετά τα περιστατικά.
Όταν το Notepad++ ελέγχει για ενημερώσεις, συνδέεται με https://notepad-plus-plus.org/update/getDownloadUrl.php?version=. Εάν υπάρχει νεότερη έκδοση, το τελικό σημείο θα επιστρέψει δεδομένα XML που παρέχουν τη διαδρομή λήψης στην πιο πρόσφατη έκδοση:
yes
8.8.8
https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe
Ο Beaumont υπέθεσε ότι ο μηχανισμός αυτόματης ενημέρωσης του Notepad++ θα μπορούσε να είχε παραβιαστεί σε αυτά τα περιστατικά για να προωθήσει κακόβουλες ενημερώσεις που παρέχουν απομακρυσμένη πρόσβαση σε φορείς απειλών.
“Εάν μπορείτε να παρακολουθήσετε και να αλλάξετε αυτήν την επισκεψιμότητα, μπορείτε να ανακατευθύνετε τη λήψη σε οποιαδήποτε τοποθεσία εμφανίζεται αλλάζοντας τη διεύθυνση URL στο ιδιοκτησίας», εξήγησε ο Beaumont.
“Επειδή η επισκεψιμότητα στο notepad-plus-plus.org είναι αρκετά σπάνια, μπορεί να είναι δυνατό να καθίσετε μέσα στην αλυσίδα ISP και να ανακατευθυνθείτε σε διαφορετική λήψη. Για να γίνει αυτό σε οποιαδήποτε κλίμακα απαιτεί πολλούς πόρους”, συνέχισε ο ερευνητής.
Ωστόσο, ο Beaumont σημείωσε ότι δεν είναι ασυνήθιστο για τους παράγοντες απειλών να χρησιμοποιούν κακόβουλη διαφήμιση για τη διανομή κακόβουλων εκδόσεων του Notepad++ που εγκαθιστούν κακόβουλο λογισμικό.
Η ειδοποίηση ασφαλείας του Notepad++ μοιράζεται την ίδια αβεβαιότητα, δηλώνοντας ότι εξακολουθούν να διερευνούν τον τρόπο με τον οποίο παραβιάζεται η κυκλοφορία.
“Η έρευνα βρίσκεται σε εξέλιξη για να προσδιοριστεί η ακριβής μέθοδος αεροπειρατείας. Οι χρήστες θα ενημερωθούν μόλις διαπιστωθούν απτά στοιχεία σχετικά με την αιτία”, αναφέρει η ειδοποίηση ασφαλείας.
Ο προγραμματιστής δηλώνει ότι όλοι οι χρήστες του Notepad++ θα πρέπει να κάνουν αναβάθμιση στην πιο πρόσφατη έκδοση, 8.8.9. Σημείωσαν επίσης ότι από την έκδοση 8.8.7, όλα τα επίσημα δυαδικά αρχεία και τα προγράμματα εγκατάστασης είναι υπογεγραμμένα με έγκυρο πιστοποιητικό και οι χρήστες που είχαν εγκαταστήσει προηγουμένως ένα παλαιότερο προσαρμοσμένο πιστοποιητικό ρίζας θα πρέπει να το αφαιρέσουν.
Το BleepingComputer επικοινώνησε με τον προγραμματιστή του Notepad++ στις 3 Δεκεμβρίου με ερωτήσεις σχετικά με τα περιστατικά, αλλά δεν έλαβε απάντηση.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
