Notepad++ バージョン8.8.9は、WinGUpアップデートツールのセキュリティ上の弱点を修正するためにリリースされた。
この問題の最初の兆候は、Notepad++コミュニティ・フォーラムのトピックに現れ、あるユーザーが、Notepad++のアップデート・ツールGUP.exe(WinGUp)が、デバイス情報を収集するコマンドを実行する未知の「%Temp%AutoUpdater.exe」実行ファイルを生成したと報告した。
報告者によると、この悪意のある実行ファイルはさまざまな偵察コマンドを実行し、その出力を「a.txt」というファイルに保存する。
cmd /c netstat -ano >> a.txt cmd /c systeminfo >> a.txt cmd /c tasklist >> a.txt cmd /c whoami >> a.txt
その後、aoupdater.exeマルウェアはcurl.exeコマンドを使用して、a.txtファイルをtemp[.]sh(以前マルウェアのキャンペーンで使用されたファイルおよびテキスト共有ウェブサイト)に流出させた。
GUPは実際の’curl.exe’コマンドではなくlibcurlライブラリを使用し、この種の情報を収集しないため、他のNotepad++ユーザは、ユーザが非公式で悪意のあるバージョンのNotepad++をインストールしたか、または自動更新ネットワークトラフィックがハイジャックされたのではないかと推測しました。
ネットワーク・ハイジャックの可能性を軽減するため、Notepad++開発者のドン・ホー氏は11月18日にバージョン8.8.8をリリースし、アップデートはGitHubからのみダウンロードできるようにした。
より強力な修正として、12月9日にNotepad 8.8.9がリリースされ、開発者のコード署名証明書で署名されていないアップデートがインストールされないようになった。
「このリリースから、Notepad++とWinGUpは、ダウンロードされたインストーラーの署名と証明書を更新プロセス中に検証するように強化されました。検証に失敗した場合、アップデートは中止されます。”とNotepad 8.8.9のセキュリティ通知には書かれている。
ハイジャックされたアップデートURL
今月初め、セキュリティ専門家のKevin Beaumont氏は、Notepad++に関連したセキュリティ・インシデントの影響を受けた3つの組織から話を聞いたと警告した。
「Notepad++がインストールされたマシンでセキュリティ・インシデントが発生し、Notepad++のプロセスが最初のアクセスを発生させたようだ。
「これらはキーボードを使った脅威行為につながった。
研究者によれば、彼が話を聞いた組織はすべて東アジアに関心を持っており、この活動は非常に標的を絞ったもので、被害者はインシデント発生後に実際に偵察活動を行ったと報告している。
メモ帳++がアップデートをチェックするとき、https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<versionnumber>に接続する。新しいバージョンがある場合、エンドポイントは最新バージョンへのダウンロード・パスを提供するXMLデータを返す:
<GUP> <script/> <NeedToBeUpdated>yes</NeedToBeUpdated><Version>8.8.8</Version> <Location>https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe</Location></GUP>。
Beaumont氏は、これらのインシデントでNotepad++の自動更新メカニズムが乗っ取られ、脅威行為者にリモート・アクセスを許可する悪意のあるアップデートがプッシュされた可能性があると推測している。
「このトラフィックを傍受して変更することができれば、<Location>プロパティのURLを変更することによって、ダウンロードを任意の場所にリダイレクトすることができます。
“notepad-plus-plus.orgへのトラフィックはかなり稀なので、ISPチェーンの内側に入り込み、別のダウンロードにリダイレクトすることが可能かもしれない。これを大規模に行うには、多くのリソースが必要です」と研究者は続けた。
しかしBeaumont氏は、マルウェアをインストールする悪意のあるバージョンのNotepad++を配布するために、脅威行為者がマルバタイジングを使用することは珍しいことではないと指摘した。
Notepad++のセキュリティ通知も同じように不確実性を共有しており、トラフィックがどのように乗っ取られているのか調査中であると述べている。
「トラフィックをハイジャックする正確な方法を特定するため、調査を継続中です。原因に関する具体的な証拠が固まり次第、ユーザーにお知らせします。
開発者は、すべてのNotepad++ユーザーは最新バージョン8.8.9にアップグレードすべきであると述べている。また、v8.8.7以降、すべての公式バイナリとインストーラーは有効な証明書で署名されており、以前に古いカスタムルート証明書をインストールしたユーザーは、それを削除する必要があるとしている。
12月3日にNotepad++の開発者にこのインシデントについて質問したが、回答は得られなかった。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
Bitpanda、KnowBe4、PathAIのようなIAMサイロを破壊する
壊れたIAMはITだけの問題ではありません – その影響はビジネス全体に波及します。
この実用的なガイドでは、従来の IAM の慣行が現代の要求に追いつけない理由、「優れた」 IAM とはどのようなものかの例、拡張可能な戦略を構築するための簡単なチェックリストについて説明します。
Comments