Notepad++ sürüm 8.8.9, araştırmacıların ve kullanıcıların güncelleyicinin meşru güncelleme paketleri yerine kötü amaçlı yürütülebilir dosyaları aldığı olayları bildirmesinin ardından WinGup güncelleme aracındaki bir güvenlik zayıflığını gidermek için yayımlandı.
Bu sorunun ilk işaretleri Notepad++ topluluk forumu başlığında ortaya çıktı; burada bir kullanıcı, Notepad++ güncelleme aracı GUP.exe'nin (WinGup), cihaz bilgilerini toplamak için komutları çalıştıran bilinmeyen bir "%Temp%\AutoUpdater.exe" yürütülebilir dosyasını ürettiğini bildirdi.
Muhabirin ifadesine göre, bu kötü amaçlı yürütülebilir dosya çeşitli keşif komutlarını çalıştırdı ve çıktıyı 'a.txt' adlı bir dosyaya sakladı.
Autoupdater.exe kötü amaçlı yazılımı daha sonra curl.exe komutunu kullanarak a.txt dosyasını daha önce kötü amaçlı yazılım kampanyalarında kullanılan bir dosya ve metin paylaşım sitesi olan temp[.]sh'ye sızdırdı.
GUP, gerçek 'curl.exe' komutu yerine libcurl kitaplığını kullandığından ve bu tür bilgileri toplamadığından, diğer Notepad++ kullanıcıları, kullanıcının Notepad++'nın resmi olmayan, kötü amaçlı bir sürümünü yüklediğini veya otomatik güncelleme ağ trafiğinin ele geçirildiğini tahmin etti.
Notepad++ geliştiricisi Don Ho, olası ağ saldırılarının azaltılmasına yardımcı olmak için 18 Kasım'da 8.8.8 sürümünü yayınladı; böylece güncellemeler yalnızca GitHub'dan indirilebilir.
Daha güçlü bir düzeltme olarak, geliştiricinin kod imzalama sertifikasıyla imzalanmayan güncellemelerin yüklenmesini önleyecek olan Notepad 8.8.9 9 Aralık'ta yayımlandı.
"Bu sürümden itibaren Notepad++ ve WinGup, güncelleme işlemi sırasında indirilen yükleyicilerin imzasını ve sertifikasını doğrulamak için güçlendirilmiştir. Doğrulama başarısız olursa güncelleme iptal edilecektir." Not Defteri 8.8.9 güvenlik bildirimini okur.
Bu ayın başlarında güvenlik uzmanı Kevin Beaumont, Notepad++ ile bağlantılı güvenlik olaylarından etkilenen üç kuruluştan haber aldığı konusunda uyardı.
"3 kuruluştan, Notepad++ yüklü kutularda güvenlik olayları yaşandığını duydum; öyle görünüyor ki, Notepad++ işlemleri ilk erişimi başlatmış." Beaumont'u açıkladı.
"Bunlar klavye tehdit aktörlerinin eline geçmesine neden oldu."
Araştırmacı, konuştuğu tüm kuruluşların Doğu Asya'da çıkarları olduğunu ve kurbanların olaylardan sonra uygulamalı keşif faaliyeti yürüttüklerini bildirmesiyle faaliyetin oldukça hedefli göründüğünü söylüyor.
Notepad++ güncellemeleri kontrol ettiğinde https://notepad-plus-plus.org/update/getDownloadUrl.php?version= adresine bağlanır. Daha yeni bir sürüm varsa uç nokta, en son sürümün indirme yolunu sağlayan XML verilerini döndürür:
Beaumont, bu olaylarda Notepad++ otomatik güncelleme mekanizmasının, tehdit aktörlerine uzaktan erişim sağlayan kötü amaçlı güncellemeleri göndermek için ele geçirilmiş olabileceğini tahmin etti.
Beaumont, "Bu trafiği kesip değiştirebiliyorsanız, mülkteki URL'yi değiştirerek indirme işlemini göründüğü herhangi bir konuma yönlendirebilirsiniz" diye açıkladı.
Araştırmacı şöyle devam etti: "Notepad-plus-plus.org'a gelen trafik oldukça nadir olduğundan, ISP zincirinin içinde oturup farklı bir indirmeye yönlendirmek mümkün olabilir. Bunu herhangi bir ölçekte yapmak çok fazla kaynak gerektirir" diye devam etti araştırmacı.
Ancak Beaumont, tehdit aktörlerinin Notepad++'ın kötü amaçlı yazılım yükleyen kötü amaçlı sürümlerini dağıtmak için kötü amaçlı reklamcılık kullanmasının alışılmadık bir durum olmadığını belirtti.
Notepad++'ın güvenlik bildirimi de aynı belirsizliği paylaşıyor ve trafiğin nasıl ele geçirildiğini hâlâ araştırdıklarını belirtiyor.
Güvenlik uyarısında, "Trafik kaçırmanın kesin yöntemini belirlemek için soruşturma devam ediyor. Sebebe ilişkin somut deliller belirlendiğinde kullanıcılar bilgilendirilecek." ifadesi yer alıyor.
Geliştirici, tüm Notepad++ kullanıcılarının en son sürüm olan 8.8.9'a yükseltme yapması gerektiğini belirtiyor. Ayrıca v8.8.7'den bu yana tüm resmi ikili dosyaların ve yükleyicilerin geçerli bir sertifikayla imzalandığını ve daha önce eski bir özel kök sertifika yüklemiş olan kullanıcıların bunu kaldırması gerektiğini de belirttiler.
BleepingComputer, olaylarla ilgili soruları için 3 Aralık'ta Notepad++ geliştiricisiyle iletişime geçti ancak bir yanıt alamadı.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Sahte 'Bir Savaş Ardışık' torrent, altyazılarda kötü amaçlı yazılımları gizliyor
Yeni DroidLock kötü amaçlı yazılımı Android cihazlarını kilitliyor ve fidye talep ediyor
Glassworm kötü amaçlı yazılımı, kötü amaçlı VS Code paketlerinin üçüncü dalgasında geri dönüyor
Microsoft'un kayıt defterindeki kötü amaçlı VSCode uzantıları bilgi hırsızlarını düşürüyor
CISA, VMware sunucularına yönelik Çin "BrickStorm" kötü amaçlı yazılım saldırılarına karşı uyardı
Kaynak: Bleeping Computer