Na začátku února správce programu Notepad++ zveřejnil informaci o tom, že se útočníkům podařilo napadnout infrastrukturu poskytovatele hostingu a následně přesměrovat aktualizační provoz na škodlivé servery. Útok přímo nevyužil žádnou chybu v kódu programu Notepad++, ale upravoval aktualizace na serverech dříve, než se dostaly k uživatelům.
Tímto způsobem se místo legitimní aktualizace uživatelům nainstaloval malware, který využíval několik vrstev obfuskace, aby skryl svůj kód a ztížil analýzu. Po spuštění si zařídil perzistenci, aby přežil restartování, shromáždil podrobné informace o infikovaném systému a připojil se ke vzdálenému serveru pro příkazy a ovládání. Prostřednictvím tohoto připojení mohli útočníci spouštět příkazy, přesouvat soubory a převzít plnou kontrolu nad napadenými stroji.
Notepad++ ve verzi 8.9.2 tento problém vyřešil zavedením aktualizačního systému s „dvojitým zámkem“, který ověřuje jak podepsaný instalační program z GitHubu, tak podepsaný informační soubor XML z aktualizačního serveru, aby se zabránilo jeho zneužití. Tato verze zároveň odstraňuje závislost na knihovně libcurl.dll, aby znemožnila side-loading DLL. Také byly deaktivovány nebezpečné volby protokolu TLS a bylo omezeno spouštění pluginů na ty podepsané stejným certifikátem.
ČLÁNKY DO MAILU