Infraestrutura para fornecer atualizações O Notepad++, um editor de texto amplamente usado para Windows, foi comprometido durante um período de seis meses por supostos hackers estatais chineses que usaram seu controle para distribuir versões backdoor do aplicativo para alvos específicos, anunciaram os desenvolvedores na segunda-feira.

“Pedimos desculpas profundas a todos os usuários afetados por este sequestro”, disseram os autores. publicar lançado oficialmente notepad-plus-plus.org o site escreveu na segunda-feira. O ataque começou em junho passado com um “comprometimento no nível da infraestrutura que permitiu que um agente mal-intencionado interceptasse e redirecionasse o tráfego de atualização destinado ao notepad-plus-plus.org”, dizia o post. Os invasores, que os investigadores dizem ter ligações com o governo chinês, redirecionaram seletivamente certos usuários-alvo para servidores de atualização maliciosos, onde receberam atualizações backdoor. O Notepad++ não recuperou o controle de sua infraestrutura até dezembro.

Os invasores podem usar privilégios de acesso para Uma carga nunca antes vista Chama-se Crisálida. A empresa de segurança Rapid 7 o descreveu como um “backdoor personalizado e rico em recursos”.

“Sua ampla gama de funcionalidades indica que se trata de uma ferramenta sofisticada e persistente, e não de um simples utilitário descartável”, afirmaram os pesquisadores da empresa.

hackeamento prático de teclado

De acordo com o Notepad++, funcionários do provedor anônimo que hospeda a infraestrutura de atualização consultaram as equipes de resposta a incidentes e determinaram que a violação de segurança persistia até 2 de setembro. Posteriormente, os invasores mantiveram credenciais para serviços internos até 2 de dezembro, o que lhes permitiu continuar redirecionando o tráfego de atualização selecionado para servidores maliciosos. O invasor mirou especificamente no domínio do Notepad++ com o objetivo de explorar “controles de validação de atualização deficientes que existiam em versões mais antigas do Notepad++”. Os logs de eventos mostram que o hacker tentou explorar um dos pontos fracos novamente depois que ele foi corrigido, mas falhou.

Segundo o pesquisador independente Kevin Beaumont, as três organizações disse a ele Um “incidente de segurança” ocorreu em um dispositivo na rede onde o Notepad++ foi instalado, “resultando na intervenção de um invasor baseado em teclado”, o que significa que o hacker conseguiu assumir o controle direto usando uma interface baseada na web. Todas as três organizações têm interesse no Leste Asiático, disse Beaumont.

Os pesquisadores explicaram que suas suspeitas surgiram em meados de novembro, quando a versão 8.8.8 do Notepad++ introduziu correções de bugs para “evitar que o atualizador do Notepad++ fosse sequestrado para servir algo que não é o Notepad++”.

Esta atualização altera o atualizador personalizado do Notepad++ conhecido como GUP ou WinGUP. O executável gup.exe relata a versão em uso para https://notepad-plus-plus.org/update/getDownloadUrl.php e recupera o URL de atualização de um arquivo chamado gup.xml. O arquivo especificado na URL é baixado no diretório %TEMP% do dispositivo e executado.

Beaumont escreve:

Se você puder interceptar e modificar esse tráfego, poderá redirecionar o download para onde quer que ele apareça, alterando o URL em suas propriedades.

Espera-se que esse tráfego seja via HTTPS, mas parece que a interceptação do TLS no nível do ISP pode (e pode) interferir no tráfego. Nas versões anteriores do Notepad++, o tráfego era HTTP.

Embora o download em si seja assinado, algumas versões anteriores do Notepad++ usavam um certificado raiz autoassinado localizado no Github. Na versão anterior 8.8.7, isso foi revertido para GlobalSign. Na verdade, há situações em que os downloads não são rigorosamente verificados quanto a adulterações.

O tráfego para notepad-plus-plus.org é bastante raro, por isso pode permanecer na cadeia do ISP e ser redirecionado para outro download. Fazer isso em qualquer escala requer muitos recursos.

Beaumont publicou sua teoria de trabalho em dezembro, dois meses antes da recomendação de segunda-feira do Notepad++. Combinado com os detalhes do Notepad++, ficou claro que nossa hipótese estava correta.

Beaumont também alertou que os mecanismos de busca estavam “cheios” de anúncios que empurravam versões trojanizadas do Notepad++, fazendo com que muitos usuários, sem saber, executassem mecanismos de busca em suas redes. A proliferação de extensões maliciosas do Notepad++ aumenta ainda mais o risco.

Source link