Notepad++ versi 8.8.9 dirilis untuk memperbaiki kelemahan keamanan pada alat pembaruan WinGup setelah peneliti dan pengguna melaporkan insiden di mana pembaru mengambil file executable berbahaya alih-alih paket pembaruan yang sah.
Tanda-tanda pertama dari masalah ini muncul di a Topik forum komunitas Notepad++saat pengguna melaporkan bahwa alat pembaruan Notepad++, GUP.exe (WinGUp), menghasilkan executable “%Temp%AutoUpdater.exe” yang tidak diketahui yang menjalankan perintah untuk mengumpulkan informasi perangkat.
Menurut reporter, executable berbahaya ini menjalankan berbagai perintah pengintaian dan menyimpan hasilnya ke dalam file bernama ‘a.txt.’
cmd /c netstat -ano >> a.txt cmd /c systeminfo >> a.txt cmd /c tasklist >> a.txt cmd /c whoami >> a.txt
Itu autoupdater.exe malware kemudian menggunakan perintah curl.exe untuk mengekstrak file a.txt ke temp[.]sh, situs berbagi file dan teks yang sebelumnya digunakan dalam kampanye malware.
Karena GUP menggunakan perpustakaan libcurl dan bukan perintah ‘curl.exe’ yang sebenarnya dan tidak mengumpulkan jenis informasi ini, pengguna Notepad++ lainnya berspekulasi bahwa pengguna tersebut telah menginstal versi Notepad++ yang tidak resmi dan berbahaya atau bahwa lalu lintas jaringan pembaruan otomatis telah dibajak.
Untuk membantu mengurangi potensi pembajakan jaringan, pengembang Notepad++ Don Ho merilis versi 8.8.8 pada tanggal 18 November, sehingga pembaruan hanya dapat diunduh dari GitHub.
Sebagai perbaikan yang lebih kuat, Notepad 8.8.9 dirilis pada tanggal 9 Desember, yang akan mencegah penginstalan pembaruan yang tidak ditandatangani dengan sertifikat penandatanganan kode pengembang.
“Dimulai dengan rilis ini, Notepad++ & WinGUp telah diperkuat untuk memverifikasi tanda tangan & sertifikat penginstal yang diunduh selama proses pembaruan. Jika verifikasi gagal, pembaruan akan dibatalkan.” membaca Pemberitahuan keamanan Notepad 8.8.9.
URL pembaruan yang dibajak
Awal bulan ini, pakar keamanan Kevin Beaumont memperingatkan bahwa dia mendengar kabar dari tiga organisasi yang terkena dampak insiden keamanan terkait Notepad++.
“Saya telah mendengar dari 3 organisasi yang mengalami insiden keamanan pada kotak dengan Notepad++ terinstal, di mana tampaknya proses Notepad++ telah menghasilkan akses awal.” jelas Beaumont.
“Hal ini mengakibatkan pelaku ancaman menggunakan keyboard.”
Peneliti mengatakan bahwa semua organisasi yang ia ajak bicara mempunyai kepentingan di Asia Timur dan kegiatan tersebut nampaknya sangat tepat sasaran, dimana para korban melaporkan adanya kegiatan pengintaian langsung setelah kejadian tersebut.
Ketika Notepad++ memeriksa pembaruan, ia terhubung ke https://notepad-plus-plus.org/update/getDownloadUrl.php?version=. Jika ada versi yang lebih baru, titik akhir akan mengembalikan data XML yang menyediakan jalur pengunduhan ke versi terbaru:
yes 8.8.8 https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe
Beaumont berspekulasi bahwa mekanisme pembaruan otomatis Notepad++ mungkin telah dibajak dalam insiden ini untuk mendorong pembaruan berbahaya yang memberikan akses jarak jauh kepada pelaku ancaman.
“Jika Anda dapat mencegat dan mengubah lalu lintas ini, Anda dapat mengarahkan unduhan ke lokasi mana pun yang muncul dengan mengubah URL di dalamnya properti,” jelas Beaumont.
“Karena lalu lintas ke notepad-plus-plus.org cukup jarang, ada kemungkinan untuk duduk di dalam rantai ISP dan mengalihkan ke unduhan lain. Untuk melakukan hal ini pada skala apa pun memerlukan banyak sumber daya,” lanjut peneliti.
Namun, Beaumont mencatat bahwa tidak jarang pelaku ancaman menggunakannya malvertising untuk mendistribusikan versi Notepad++ yang berbahaya yang menginstal malware.
Pemberitahuan keamanan Notepad++ juga menyampaikan ketidakpastian yang sama, menyatakan bahwa mereka masih menyelidiki bagaimana lalu lintas tersebut dibajak.
“Penyelidikan sedang berlangsung untuk menentukan metode pasti pembajakan lalu lintas. Pengguna akan diberitahu setelah bukti nyata mengenai penyebabnya ditemukan,” demikian bunyi pernyataan tersebut. pemberitahuan keamanan.
Pengembang menyatakan bahwa semua pengguna Notepad++ harus mengupgrade ke versi terbaru, 8.8.9. Mereka juga mencatat bahwa sejak v8.8.7, semua biner dan penginstal resmi ditandatangani dengan sertifikat yang valid, dan pengguna yang sebelumnya menginstal sertifikat root khusus yang lebih lama harus menghapusnya.
BleepingComputer menghubungi pengembang Notepad++ pada tanggal 3 Desember dengan pertanyaan tentang insiden tersebut tetapi tidak menerima balasan.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
