Nedavna izdanja editora Notepad++ rješavaju ranjivost koja je omogućavala hakerima da preuzmu kontrolu nad sistemom za ažuriranje ovog besplatnog editora izvornog koda.
Bezbjednosni istraživač Kevin Beaumont izvijestio je početkom decembra da je nekoliko organizacija koje koriste Notepad++ prijavilo sajber incidente povezane sa ovim alatom.
Beaumont je ove sedmice naveo da su napadi, prema dostupnim pokazateljima, izvedeni od strane hakera iz Kine, koji su iskoristili ranjivost u Notepad++-u za inicijalni pristup sistemima telekomunikacionih i finansijskih kompanija u istočnoj Aziji.
Razvojni tim Notepad++-a je, po svemu sudeći, bio svjestan problema sa sistemom za ažuriranje još sredinom novembra, kada su u bilješkama uz izdanje verzije 8.8.8 pomenuli bezbjednosno unapređenje čiji je cilj bio da se spriječi otmica updatera aplikacije.
U objavi ove sedmice, kojom je najavljeno izdanje verzije 8.8.9, Notepad++ je potvrdio da je saobraćaj updatera (WinGUp) u pojedinim slučajevima bio preusmjeravan ka malicioznim serverima, što je rezultiralo preuzimanjem kompromitovanih izvršnih fajlova na sisteme žrtava.
Istraga koju su sproveli Notepad++ developeri dovela je do otkrića propusta u načinu na koji updater provjerava autentičnost i integritet fajlova za ažuriranje.
„U slučaju da napadač uspije da presretne mrežni saobraćaj između klijenta za ažuriranje i Notepad++ infrastrukture za ažuriranja, ovu slabost je moguće iskoristiti kako bi se updater naveo da preuzme i izvrši nepoželjni binarni fajl (umjesto legitimnog Notepad++ binarnog fajla za ažuriranje).“
U najnovijoj verziji, Notepad++ i komponenta WinGUp tokom procesa ažuriranja provjeravaju digitalni potpis preuzetih instalera, a ažuriranje se ne izvršava ukoliko provjera ne prođe.
Međutim, još uvijek nije tačno utvrđeno na koji način je u stvarnim napadima dolazilo do otmice mrežnog saobraćaja.
Beaumont, koji je ovu kampanju opisao kao napad na lanac snabdijevanja, smatra da hakeri mogu presretati saobraćaj na nivou internet provajdera kako bi distribuirali maliciozna ažuriranja, ali je naglasio da je za takav napad potrebno raspolagati značajnim resursima.
Izvor: SecurityWeek
