Actualizările software fac parte din obiceiul nostru digital, însă uneori tocmai ceea ce ar trebui să ne protejeze poate introduce o vulnerabilitate cu consecințe mai serioase. Cazul se referă la Notepad++, popularul editor de text, și la updaterul său WinGUp; incidentul a fost semnalat în comunitatea online și a afectat utilizatori Windows. Remediile publicate de dezvoltatori au închis o vulnerabilitate care permitea descărcarea și executarea unor fișiere malițioase în locul pachetelor legitime, readucând în discuție riscul atacurilor asupra lanțului de distribuție software, similare cu altele mediatizate anterior.
Problema a fost semnalată inițial de un membru al forumului comunității, care a observat că updaterul GUP.exe a creat în %Temp% un fișier necunoscut numit AutoUpdater.exe; acel executabil a rulat comenzi de recon ce au colectat informații de pe mașină, salvând rezultatele într-un fișier denumit a.txt. Comenzile folosite au inclus netstat -ano, systeminfo, tasklist și whoami, toate redirecționate în a.txt, iar apoi fișierul a fost urcat în exterior cu curl către un serviciu de partajare temp.sh, un domeniu asociat anterior unor campanii malițioase. Deoarece updaterul oficial GUP folosește biblioteca libcurl și nu utilitarul curl.exe, au apărut speculații că instalarea Notepad++ era o versiune neoficială modificată sau că traficul a fost interceptat pentru a schimba ce se descarcă.
Dezvoltatorul Don Ho a reacționat prompt: pe 18 noiembrie a fost lansată versiunea 8.8.8 care restricționează descărcările de actualizări la GitHub, iar pe 9 decembrie a fost publicată versiunea 8.8.9 care introduce o măsură mai strictă, verificarea semnăturii și a certificatului pachetelor descărcate în timpul update-ului; dacă această verificare eșuează, procesul de actualizare este oprit. Schimbările urmăresc reducerea riscului ca un URL de update să fie modificat sau redirecționat către un pachet compromis. Verificarea e importantă deoarece endpointul de update returnează un fișier XML care conține o locație de download; dacă câmpul Location este alterat, clientul poate fi trimis să descarce un executabil dintr-o sursă neautorizată.
Cercetătorul Kevin Beaumont a semnalat că mai multe organizații au raportat incidente în care procese Notepad++ au servit drept vector inițial pentru atacatori, inclusiv atacuri foarte țintite cu activități manuale de recon pe mașinile compromise; el a precizat că organizațiile afectate aveau legături cu interese din Asia de Est. Beaumont a propus două ipoteze: fie traficul de rețea a fost interceptat și URL-ul de download modificat în fluxul XML, posibil la nivelul unui lanț ISP, fie au fost distribuite versiuni malițioase prin vectori clasici precum malvertising. Notepad++ a comunicat că ancheta continuă pentru a stabili mecanismul hijackingului și a recomandat trecerea la versiunea 8.8.9. De asemenea, dezvoltatorii au menționat că, începând cu 8.8.7, toate binarele oficiale sunt semnate cu un certificat valid și au sfătuit eliminarea oricărui certificat root personalizat instalat anterior. Un outlet tehnic a încercat să contacteze dezvoltatorul pe 3 decembrie, fără răspuns la acel moment.
Notepad++ 8.8.9 introduce verificarea semnăturilor pentru instalatori și blochează actualizările nesemnate. Măsura subliniază importanța certificatelor digitale și a surselor de unde provin pachetele; experiența recentă arată că lanțurile de distribuție sunt o țintă atractivă pentru atacatori, iar semnarea codului și restricționarea surselor de download, de exemplu folosirea GitHub pentru releases, sunt pași concreți de apărare. Pentru utilizatori și administratori, monitorizarea surselor de update, evitarea build-urilor neoficiale și eliminarea certificatelor root adăugate manual sunt măsuri practice care reduc riscul.
Crezi că schimbările din 8.8.9 sunt suficiente pentru a împiedica astfel de incidente sau ar fi necesare și alte bune practici la nivel de rețea și infrastructură?
Fii primul care comentează