Notepad++ バージョン 8.8.9 がリリースされました。これは、研究者やユーザーから、アップデーターが正規のアップデートパッケージではなく悪意ある実行ファイルを取得してしまう事例が報告されたことを受け、WinGUp アップデートツールのセキュリティ上の弱点を修正するためのものです。
この問題の最初の兆候は、Notepad++ コミュニティフォーラムのトピックで現れました。そこでは、あるユーザーが、Notepad++ のアップデートツール GUP.exe(WinGUp)が未知の「%Temp%\AutoUpdater.exe」実行ファイルを生成し、それがデバイス情報を収集するコマンドを実行したと報告しています。
報告者によると、この悪意ある実行ファイルはさまざまな偵察コマンドを実行し、その出力を「a.txt」というファイルに保存していました。
cmd /c netstat -ano >> a.txt
cmd /c systeminfo >> a.txt
cmd /c tasklist >> a.txt
cmd /c whoami >> a.txtその後、このautoupdater.exeマルウェアは curl.exe コマンドを使って、a.txt ファイルを temp[.]sh 上のリモートサイトへと流出させました。
GUP は実際の「curl.exe」コマンドではなく libcurl ライブラリを使用しており、またこの種の情報を収集することもないため、他の Notepad++ ユーザーは、ユーザーが非公式の悪意ある Notepad++ バージョンをインストールしたか、オートアップデートのネットワークトラフィックがハイジャックされたのではないかと推測しました。
潜在的なネットワークハイジャックを軽減するため、Notepad++ の開発者 Don Ho 氏は 11 月 18 日にバージョン 8.8.8 をリリースし、GitHub からのみアップデートをダウンロードできるようにしました。
より強力な修正として、12 月 9 日に Notepad 8.8.9 がリリースされ、開発者のコードサイニング証明書で署名されていないアップデートはインストールできないようになりました。
「このリリース以降、Notepad++ と WinGUp は、アップデート処理中にダウンロードされたインストーラーの署名と証明書を検証するよう強化されました。検証に失敗した場合、アップデートは中止されます。」と、Notepad 8.8.9 のセキュリティ通知には記載されています。
ハイジャックされたアップデート URL
今月初め、セキュリティ専門家の Kevin Beaumont 氏は、Notepad++ に関連するセキュリティインシデントの影響を受けた 3 つの組織から話を聞いたと警告しました。
「Notepad++ がインストールされている端末で、Notepad++ のプロセスが初期侵入を引き起こしたように見えるセキュリティインシデントについて、これまでに 3 つの組織から話を聞きました。」と、Beaumont 氏は説明しています。
「これらは、実際にキーボード操作を行う脅威アクターにつながっています。」
研究者によると、彼が話を聞いたすべての組織は東アジアに利害関係を持っており、この活動は非常に標的を絞ったもので、被害者はインシデント後にハンズオンの偵察活動が行われたと報告しているとのことです。
Notepad++ がアップデートを確認する際には、https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<versionnumber> に接続します。新しいバージョンが存在する場合、このエンドポイントは最新バージョンのダウンロードパスを提供する XML を返します。
<GUP>
<script/>
<NeedToBeUpdated>yes</NeedToBeUpdated>
<Version>8.8.8</Version>
<Location>https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe</Location>
</GUP>Beaumont 氏は、これらのインシデントでは Notepad++ の自動アップデート機構がハイジャックされ、脅威アクターにリモートアクセスを与える悪意あるアップデートが配信された可能性があると推測しました。
「もしこのトラフィックを傍受して変更できるのであれば、<Location> プロパティ内の URL を変更することで、ダウンロード先を任意の場所にリダイレクトできます。」と Beaumont 氏は説明しています。
「notepad-plus-plus.org へのトラフィックはかなりまれであるため、ISP チェーン内部に入り込んで別のダウンロード先へリダイレクトすることが可能かもしれません。これをある程度の規模で行うには、多くのリソースが必要になります。」と研究者は続けています。
しかし Beaumont 氏は、脅威アクターがマルウェアをインストールする悪意ある Notepad++ バージョンを配布するために、マルバタイジングを利用することは珍しくないとも指摘しています。
Notepad++ のセキュリティ通知も同様に不確実性を示しており、トラフィックがどのようにハイジャックされているのか、いまだ調査中であると述べています。
「トラフィックハイジャックの正確な手法を特定するための調査は継続中です。原因に関する具体的な証拠が得られ次第、ユーザーに通知します。」と、セキュリティ通知には記載されています。
開発者は、すべての Notepad++ ユーザーに最新バージョンである 8.8.9 へのアップグレードを推奨しています。また、v8.8.7 以降、すべての公式バイナリおよびインストーラーは有効な証明書で署名されており、以前に古いカスタムルート証明書をインストールしているユーザーは、それを削除すべきだと述べています。
BleepingComputer は、これらのインシデントに関する質問を 12 月 3 日に Notepad++ の開発者へ送付しましたが、回答は得られませんでした。
