Notepad++ устраняет уязвимость, которая позволяла злоумышленникам внедрять вредоносные файлы обновлений

Вышла версия Notepad++ 8.8.9, в которой устранена уязвимость в системе безопасности инструмента обновления WinGUp. Исследователи и пользователи сообщали о случаях, когда средство обновления загружало вредоносные исполняемые файлы вместо законных пакетов обновлений.

Первые признаки этой проблемы появились в теме на форуме сообщества Notepad++, где пользователь сообщил, что инструмент обновления Notepad++ GUP.exe (WinGUp) запускает неизвестный исполняемый файл %Temp%\AutoUpdater.exe, который выполняет команды для сбора информации об устройстве.

По словам репортёра, этот вредоносный исполняемый файл выполнял различные команды для сбора информации и сохранял результаты в файл под названием «a.txt».

cmd /c netstat -ano >> a.txt
cmd /c systeminfo >> a.txt
cmd /c tasklist >> a.txt
cmd /c whoami >> a.txt

Затем вредоносная программа autoupdater.exe с помощью команды curl.exe отправила файл a.txt на temp[.]sh — сайт для обмена файлами и текстом, который ранее использовался в кампаниях по распространению вредоносного ПО.

Поскольку GUP использует библиотеку libcurl, а не саму команду ‘curl.exe’, и не собирает информацию такого типа, другие пользователи Notepad++ предположили, что пользователь установил неофициальную вредоносную версию Notepad++ или что сетевой трафик автоматического обновления был перехвачен.

Чтобы предотвратить потенциальное перехват данных в сети, разработчик Notepad++ Дон Хо 18 ноября выпустил версию 8.8.8, в которой обновления можно загружать только с GitHub.

В качестве более надёжного решения 9 декабря был выпущен Notepad 8.8.9, который предотвращает установку обновлений, не подписанных сертификатом разработчика.

«Начиная с этого выпуска Notepad++ и WinGUp будут проверять подпись и сертификат загружаемых установщиков в процессе обновления. Если проверка не пройдена, обновление будет прервано». Так говорится в уведомлении о безопасности Notepad 8.8.9.

Взломанные URL-адреса обновлений

Ранее в этом месяце эксперт по безопасности Кевин Бомонт сообщил, что получил информацию от трёх организаций, пострадавших от инцидентов, связанных с безопасностью Notepad++.

«Я получил сообщения от трёх организаций, в которых произошли инциденты, связанные с безопасностью на компьютерах с установленным Notepad++, где, судя по всему, процессы Notepad++ инициировали первоначальный доступ». объяснил Бомонт.

«Это привело к тому, что злоумышленники получили доступ к клавиатуре».

По словам исследователя, все организации, с которыми он общался, имеют интересы в Восточной Азии, и их деятельность была очень целенаправленной. Жертвы сообщали о том, что после инцидентов проводилась активная разведывательная деятельность.

Когда Notepad++ проверяет наличие обновлений, он подключается к https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<номер_версии>. Если доступна более новая версия, конечная точка вернёт XML-данные с путём для загрузки последней версии:

<GUP>
<script/>
<NeedToBeUpdated>yes</NeedToBeUpdated>
<Version>8.8.8</Version>
<Location>https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe</Location>
</GUP>

Бомонт предположил, что в этих инцидентах мог быть задействован механизм автоматического обновления Notepad++ для установки вредоносных обновлений, которые предоставляют злоумышленникам удалённый доступ.

«Если вы можете перехватывать и изменять этот трафик, вы можете перенаправить загрузку в любое место, где она отображается, изменив URL-адрес в свойстве <Location>», — объяснил Бомонт.

«Поскольку трафик на notepad-plus-plus.org поступает довольно редко, можно подключиться к сети интернет-провайдера и перенаправить пользователя на другой сайт для скачивания. Для этого в любом масштабе требуется много ресурсов», — продолжил исследователь.

Однако Бомонт отметил, что злоумышленники нередко используют вредоносную рекламу для распространения вредоносных версий Notepad++ для установки вредоносного ПО.

В уведомлении о безопасности Notepad++ говорится о той же неопределённости и о том, что они всё ещё изучают способы перехвата трафика.

«Продолжается расследование с целью установления точного способа перехвата трафика. Пользователи будут проинформированы, как только будут получены убедительные доказательства причины», — говорится в уведомлении о безопасности.

Разработчик заявляет, что всем пользователям Notepad++ следует обновиться до последней версии 8.8.9. Он также отметил, что начиная с версии 8.8.7 все официальные двоичные файлы и установщики подписаны действительным сертификатом, и пользователям, которые ранее установили более старый пользовательский корневой сертификат, следует удалить его.

Редактор: AndreyEx