最近の Notepad++ リリースでは、無料のソースコードエディタのアップデータが脅威アクターに乗っ取られることを許していた脆弱性に対処しています。
セキュリティ研究者の Kevin Beaumont 氏は 12 月初旬、Notepad++ を使用している一部の組織が、このコードエディタに関連するセキュリティインシデントを経験していると報告しました。
Beaumont 氏は今週のアップデートで、これらの攻撃は中国の脅威アクターによって実行されたようだと述べました。攻撃者は Notepad++ の脆弱性を悪用し、東アジアの通信および金融サービス企業のシステムへの初期侵入に利用していたとされています。
Notepad++ の開発者は少なくとも 11 月中旬にはアップデータに関する問題を把握していたようで、バージョン 8.8.8 のリリースノートには、アプリケーションのアップデータが乗っ取られるのを防ぐためのセキュリティ強化が記載されていました。
今週公開されたバージョン 8.8.9 のリリース告知の中で、Notepad++ は、アップデータ(WinGUp)からのトラフィックが一部のケースで悪意あるサーバーにリダイレクトされ、その結果、被害者のシステムに不正な実行ファイルがダウンロードされていたことを認めました。
Notepad++ 開発者による調査の結果、アップデータが更新ファイルの真正性と完全性を検証する方法に欠陥があることが判明しました。
「攻撃者がアップデータクライアントと Notepad++ のアップデート基盤との間のネットワークトラフィックを傍受できる場合、この弱点を悪用して、正規の Notepad++ アップデートバイナリの代わりに、望ましくないバイナリをダウンロード・実行するようアップデータに促すことが可能になります。」
最新バージョンでは、Notepad++ と WinGUp コンポーネントが更新プロセス中にダウンロードされたインストーラーの署名を検証し、そのチェックに失敗した場合はアップデートは実行されません。
しかし、実際の環境でトラフィックがどのように乗っ取られていたのかは、まだ正確には判明していません。
このキャンペーンをサプライチェーン攻撃と表現した Beaumont 氏は、脅威アクターが ISP レベルでトラフィックを乗っ取り、悪意あるアップデートを配信している可能性があると考えていますが、そのような攻撃を行うには多大なリソースが必要であることも指摘しています。
翻訳元: https://www.securityweek.com/notepad-patches-updater-flaw-after-reports-of-traffic-hijacking/
