La version 8.8.9 de Notepad++ a été publiée pour corriger une faille de sécurité dans son outil de mise à jour WinGUp après que des chercheurs et des utilisateurs ont signalé des incidents dans lesquels le programme de mise à jour récupérait des exécutables malveillants au lieu de packages de mise à jour légitimes.
Les premiers signes de ce problème sont apparus dans un sujet du forum de la communauté Notepad++, où un utilisateur a signalé que l’outil de mise à jour de Notepad++, GUP.exe( WinGUp), a engendré un inconnu » %Temp%\AutoUpdater.exécutable » exe » qui exécutait des commandes pour collecter des informations sur l’appareil.
Selon le journaliste, cet exécutable malveillant exécutait diverses commandes de reconnaissance et stockait la sortie dans un fichier appelé ‘a.txt.’
cmd /c netstat -ano >> a.txt
cmd /c systeminfo >> a.txt
cmd /c tasklist >> a.txt
cmd /c whoami >> a.txtL’autoupdater.le malware exe a ensuite utilisé la boucle.commande exe pour exfiltrer le a.txt fichier à temp[.] sh, un site Web de partage de fichiers et de texte précédemment utilisé dans des campagnes de logiciels malveillants.
Comme GUP utilise la bibliothèque libcurl plutôt que la boucle réelle.exe ‘ commande et ne collecte pas ce type d’informations, d’autres utilisateurs de Notepad++ ont émis l’hypothèse que l’utilisateur avait installé une version non officielle et malveillante de Notepad++ ou que le trafic réseau de mise à jour automatique avait été détourné.
Pour aider à atténuer les détournements potentiels du réseau, le développeur de Notepad++ Don Ho a publié la version 8.8.8 le 18 novembre, de sorte que les mises à jour ne peuvent être téléchargées qu’à partir de GitHub.
En tant que correctif plus puissant, le Bloc-notes 8.8.9 a été publié le 9 décembre, ce qui empêchera l’installation de mises à jour qui ne sont pas signées avec le certificat de signature de code du développeur.
« À partir de cette version, Notepad++ et WinGUp ont été renforcés pour vérifier la signature et le certificat des programmes d’installation téléchargés pendant le processus de mise à jour. Si la vérification échoue, la mise à jour sera interrompue. »lit l’avis de sécurité du Bloc-notes 8.8.9.
URL de mise à jour détournées
Plus tôt ce mois-ci, l’expert en sécurité Kevin Beaumont a averti qu’il avait entendu trois organisations qui avaient été touchées par des incidents de sécurité liés à Notepad++.
« J’ai entendu parler de 3 organisations maintenant qui ont eu des incidents de sécurité sur des boîtes avec Notepad ++ installé, où il semble que les processus Notepad++ ont engendré l’accès initial. »expliqua Beaumont.
« Ceux-ci ont abouti à des acteurs de la menace sur le clavier. »
Le chercheur dit que toutes les organisations auxquelles il a parlé ont des intérêts en Asie de l’Est et que l’activité semblait très ciblée, les victimes rapportant des activités de reconnaissance pratiques après les incidents.
Lorsque Notepad++ recherche des mises à jour, il se connecte à https://notepad-plus-plus.org/update/getDownloadUrl.php?version= < versionnumber>. S’il existe une version plus récente, le point de terminaison renverra des données XML qui fournissent le chemin de téléchargement vers la dernière version:
<GUP>
<script/>
<NeedToBeUpdated>yes</NeedToBeUpdated>
<Version>8.8.8</Version>
<Location>https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe</Location>
</GUP>Beaumont a émis l’hypothèse que le mécanisme de mise à jour automatique de Notepad++aurait pu être détourné dans ces incidents pour pousser des mises à jour malveillantes qui accordent aux acteurs de la menace un accès à distance.
« Si vous pouvez intercepter et modifier ce trafic, vous pouvez rediriger le téléchargement vers n’importe quel emplacement où il apparaît en modifiant l’URL dans la propriété « , a expliqué Beaumont.
« Parce que le trafic vers notepad-plus-plus.org est assez rare, il peut être possible de s’asseoir à l’intérieur de la chaîne des FAI et de rediriger vers un téléchargement différent. Faire cela à n’importe quelle échelle nécessite beaucoup de ressources », a poursuivi le chercheur.
Cependant, Beaumont a noté qu’il n’est pas rare que les acteurs de la menace utilisent la publicité malveillante pour distribuer des versions malveillantes de Notepad++ qui installent des logiciels malveillants.
L’avis de sécurité de Notepad++partage la même incertitude, indiquant qu’ils enquêtent toujours sur la façon dont le trafic est détourné.
« L’enquête est en cours pour déterminer la méthode exacte de détournement de trafic. Les utilisateurs seront informés une fois que des preuves tangibles concernant la cause seront établies », lit-on dans l’avis de sécurité.
Le développeur déclare que tous les utilisateurs de Notepad++ doivent passer à la dernière version, 8.8.9. Ils ont également noté que depuis la version 8.8.7, tous les binaires et programmes d’installation officiels sont signés avec un certificat valide, et les utilisateurs qui ont précédemment installé un ancien certificat racine personnalisé doivent le supprimer.
Breachtrace a contacté le développeur de Notepad++le 3 décembre pour lui poser des questions sur les incidents, mais n’a pas reçu de réponse.