A versão 8.8.9 do Notepad++ foi lançada para corrigir uma vulnerabilidade no seu mecanismo de atualização, o WinGUp, após relatos de pesquisadores e usuários sobre casos em que o updater baixava executáveis maliciosos em vez dos pacotes legítimos.
Os primeiros indícios do problema surgiram em um fórum da comunidade do Notepad++, quando um usuário apontou que a ferramenta de atualização, GUP.exe (WinGUp), gerava um executável desconhecido chamado "%Temp%\AutoUpdater.exe".
Esse arquivo malicioso executava comandos para coletar informações do dispositivo.
Segundo o relato, o malware realizava diversas ações de reconhecimento, salvando os resultados em um arquivo chamado "a.txt".
Em seguida, utilizava o comando curl.exe para enviar esse arquivo a um servidor remoto hospedado no domínio temp[.]sh.
Como o GUP usa a biblioteca libcurl em vez do comando curl.exe diretamente, e não coleta esse tipo de dado, outros usuários especularam que o problema poderia ser causado por uma versão não oficial e maliciosa do Notepad++ instalada, ou por um sequestro do tráfego de atualização.
Para mitigar possíveis ataques do tipo man-in-the-middle, o desenvolvedor Don Ho lançou a versão 8.8.8, em 18 de novembro, que passou a permitir o download de atualizações somente pelo GitHub.
Em uma correção mais robusta, a versão 8.8.9, lançada em 9 de dezembro, bloqueia a instalação de atualizações que não estejam assinadas digitalmente com o certificado válido do desenvolvedor.
“Com esta versão, Notepad++ e WinGUp foram reforçados para verificar a assinatura e o certificado dos instaladores baixados durante o processo de atualização.
Caso a verificação falhe, a atualização será abortada”, informa o comunicado oficial da 8.8.9.
No início deste mês, o especialista em segurança Kevin Beaumont alertou ter ouvido relatos de três organizações afetadas por incidentes relacionados ao Notepad++.
“Ouvi três organizações que tiveram incidentes de segurança em máquinas com Notepad++ instalado, onde processos do Notepad++ parecem ter iniciado o acesso inicial”, explicou Beaumont.
Ele acrescentou que esses ataques envolveram agentes maliciosos com ações manuais (hands-on keyboard) e que as vítimas têm relações comerciais com o leste asiático.
A atividade aparentou ser bastante direcionada, com reconhecimento ativo após os incidentes.
O mecanismo de atualização do Notepad++ verifica novas versões acessando a URL https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<versionnumber>.
Se há uma versão mais recente, o servidor retorna um arquivo XML com o caminho de download correspondente.
Beaumont levantou a hipótese de que esse processo de autoupdate poderia ter sido sequestrado para distribuir atualizações maliciosas que dão acesso remoto a invasores.
“Se você interceptar e modificar esse tráfego, pode redirecionar o download para qualquer local alterando a URL no atributo <Location>”, explicou.
“Como o acesso ao notepad-plus-plus.org é pouco frequente, é possível que um agente no meio da cadeia (ISP) redirecione para um arquivo diferente.
No entanto, fazer isso em larga escala exige muitos recursos”, complementou o pesquisador.
Ele também mencionou que não é raro que atores maliciosos usem malvertising para distribuir versões infectadas do Notepad++ que instalam malware.
O aviso de segurança da equipe do Notepad++ confirma essa incerteza, afirmando que a investigação para entender o método exato de sequestro do tráfego ainda está em andamento.
“Os usuários serão informados assim que houver evidências concretas sobre a causa”, diz o comunicado.
O desenvolvedor recomenda que todos os usuários atualizem para a versão 8.8.9.
Também ressalta que, desde a versão 8.8.7, todos os binários e instaladores oficiais são assinados digitalmente, e que usuários com certificados raiz personalizados devem removê-los.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...