Notepad++に更新メカニズムの脆弱性が発覚

人気のテキストエディタ「Notepad++」の開発チームは、更新メカニズムに存在する重大なセキュリティ上の欠陥に対処するため、バージョン8.8.9をリリースしました。この脆弱性により、攻撃者はユーザーのシステムにマルウェアをインストールするため、更新トラフィックを乗っ取る可能性があります。

脆弱性の詳細と攻撃シナリオ

セキュリティ専門家は、Notepad++のアップデータであるWinGUpが侵害され、悪意のあるサーバーにトラフィックをリダイレクトする事案を報告しました。調査の結果、アップデータがダウンロードされたファイルの信頼性を検証する方法に弱点があることが判明しました。標準的な攻撃シナリオでは、脅威アクターはアップデータクライアントとNotepad++のインフラストラクチャ間のネットワークトラフィックを傍受します。この検証の弱点を悪用することで、攻撃者は正規の更新ファイルではなく、侵害されたバイナリをダウンロードおよび実行させることが可能でした。この「中間者攻撃」(MitM)は、ソフトウェアの自動更新プロセスに対するユーザーの信頼を事実上迂回します。

バージョン8.8.9でのセキュリティ強化

この脅威に対抗するため、Notepad++チームはバージョン8.8.9で大幅なセキュリティ強化を導入しました。アップデータは、実行前にインストーラのデジタル署名と証明書の両方を厳格に検証するように強化されています。この検証ステップが失敗した場合、ユーザーを保護するために更新プロセスは直ちに中止されます。また、開発者によると、バージョン8.8.7以降、すべてのNotepad++バイナリは正規のGlobalSign証明書でデジタル署名されています。その結果、ユーザーはNotepad++のルート証明書を手動でインストールする必要がなくなりました。チームは、以前にこのルート証明書をインストールしたユーザーに対し、クリーンなセキュリティ体制を維持するため、今すぐ削除することを明示的に推奨しています。

今後の対応とユーザーへの推奨

直接的な脆弱性はパッチが適用されましたが、初期のトラフィックを乗っ取るために使用された正確な方法に関する調査は現在も進行中です。Notepad++チームは、根本原因に関する具体的な証拠が確立され次第、コミュニティとさらなる詳細を共有することを約束しています。ユーザーは、今後の更新の整合性を確実に検証するため、直ちにバージョン8.8.9に更新するよう強く推奨されています。このリリースには、セキュリティパッチとは関係のないさまざまなバグ修正や追加機能も含まれています。

元記事: https://gbhackers.com/notepad-flaw-attackers-hijack-update-traffic/