Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una nuova versione, la 8.8.9, del noto editor di testo Notepad++, è stata distribuita dagli sviluppatori, risolvendo una criticità nel sistema di aggiornamento automatico. Questo problema è venuto a galla dopo che alcuni utilizzatori e investigatori hanno rilevato che, anziché scaricare legittimi aggiornamenti, il sistema provvedeva a scaricare eseguibili dannosi.
I primi indizi del problema sono emersi nei forum della comunità di Notepad++.
Un utente ha segnalato, ad esempio, di aver riscontrato che l’aggiornamento dello strumento GUP.exe (WinGUp) stava eseguendo un file che sembrava sospetto, %Temp%AutoUpdater.exe, il quale aveva iniziato a raccogliere dati relativi al sistema.
Il malware eseguiva i tipici comandi di ricognizione e salvava i risultati nel file a.txt:
Dopo aver raccolto i dati, curl.exe è stato utilizzato per inviare un file a temp[.]sh, un servizio di condivisione di file e testo già visto in altre campagne malware. Poiché GUP utilizza la libreria libcurl, non curl.exe, e non raccoglie affatto tali informazioni, i membri del forum hanno ipotizzato che l’utente abbia installato una build non ufficiale e infetta di Notepad++ oppure che il traffico di aggiornamento sia stato intercettato.
Per ridurre il rischio di intercettazione del traffico, lo sviluppatore Don Ho ha rilasciato la versione 8.8.8 il 18 novembre, che scarica gli aggiornamenti solo da GitHub. Tuttavia, questa soluzione si è rivelata insufficiente. Pertanto, il 9 dicembre è stata rilasciata la versione 8.8.9, con misure di sicurezza più rigorose: ora l’editor non installerà gli aggiornamenti a meno che non siano firmati dal certificato dello sviluppatore.
“A partire da questa versione, Notepad++ e WinGUP controllano la firma e il certificato dei programmi di installazione scaricati durante il processo di aggiornamento. Se il controllo fallisce, l’aggiornamento verrà interrotto”, si legge nell’annuncio ufficiale.
Va notato che all’inizio di dicembre, il noto specialista in sicurezza informatica Kevin Beaumont ha dichiarato di essere a conoscenza di tre organizzazioni che avevano subito incidenti correlati a Notepad++. “Sono stato contattato da tre aziende che stavano riscontrando problemi di sicurezza su computer che eseguivano Notepad++. Sembra che i processi di editing venissero utilizzati come punto di accesso primario”, ha scritto Beaumont. “Di conseguenza, gli aggressori ricorrevano all’intervento manuale.”
Il ricercatore ha osservato che tutte le organizzazioni interessate avevano interessi nell’Asia orientale e che l’attività dannosa sembrava mirata. Il fatto è che, quando Notepad++ verifica la presenza di aggiornamenti, accede a https://notepad-plus-plus.org/update/getDownloadUrl.php?version=
Beaumont ha ipotizzato che il meccanismo di aggiornamento automatico potrebbe essere stato compromesso per distribuire aggiornamenti dannosi che avrebbero consentito l’accesso remoto agli aggressori.
Lo specialista ha anche osservato che gli aggressori spesso utilizzano pubblicità dannose per distribuire versioni infette di Notepad++, che alla fine installano malware. Anche il bollettino ufficiale sulla sicurezza di Notepad++ contiene qualche incertezza. L’indagine è in corso e il metodo esatto di intercettazione del traffico non è ancora stato determinato.
Si consiglia vivamente a tutti gli utenti di aggiornare Notepad++ alla versione 8.8.9. Si segnala inoltre che, a partire dalla versione 8.8.7, tutti i file binari e gli installer ufficiali devono essere firmati con un certificato valido. Se l’utente ha installato un certificato radice personalizzato precedente, è necessario rimuoverlo.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia