サイバーニュース.jp

世界のサイバーなニュースを配信

Notepad++、緊急アップデートで悪意ある更新ファイルの脆弱性を修正

カテゴリ:

Notepad++、悪意ある更新ファイル配信の脆弱性を修正

人気のテキストエディタ「Notepad++」は、その更新ツール「WinGUp」における重大なセキュリティ脆弱性を修正するため、緊急アップデートをリリースしました。この脆弱性により、攻撃者が正規の更新パッケージの代わりに悪意のある実行ファイルをユーザーにプッシュする可能性が指摘されていました。

脆弱性の詳細:自動更新ツールによるマルウェア配布の可能性

この問題は、Notepad++のコミュニティフォーラムでユーザーからの報告によって最初に浮上しました。報告によると、Notepad++の更新ツールである「GUP.exe(WinGUp)」が、不明な「%Temp%\AutoUpdater.exe」という実行ファイルを生成し、デバイス情報を収集するコマンドを実行したとのことです。具体的には、以下の偵察コマンドが実行され、その出力は「a.txt」というファイルに保存されました。

  • cmd /c netstat -ano >> a.txt
  • cmd /c systeminfo >> a.txt
  • cmd /c tasklist >> a.txt
  • cmd /c whoami >> a.txt

その後、「autoupdater.exe」マルウェアは、curl.exeコマンドを使用して「a.txt」ファイルをリモートサイト「temp[.]sh」に流出させました。公式のGUPはlibcurlライブラリを使用しており、このような情報を収集しないため、一部のユーザーは非公式の悪意のあるNotepad++がインストールされたか、自動更新のネットワークトラフィックがハイジャックされた可能性を指摘していました。

攻撃の背景とセキュリティ専門家からの警告

セキュリティ専門家のケビン・ボーモント氏もまた、Notepad++に関連するセキュリティインシデントについて警鐘を鳴らしました。同氏は、Notepad++がインストールされた環境で、Notepad++のプロセスが不正な初期アクセスを生成したケースを複数確認しており、これにより「ハンズオンキーボード」型(手動操作)の脅威アクターが侵入したと報告しています。ボーモント氏によると、影響を受けた組織は東アジアに関心を持つ企業であり、非常に標的型攻撃の様相を呈していたとのことです。

Notepad++が更新をチェックする際、https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<versionnumber>に接続し、新しいバージョンがある場合はXMLでダウンロードパスが返されます。このXMLには、以下のような形式で最新バージョンのダウンロードURLが含まれます。

<GUP>
  <script/>
  <NeedToBeUpdated>yes</NeedToBeUpdated>
  <Version>8.8.8</Version>
  <Location>https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe</Location>
</GUP>

ボーモント氏は、このトラフィックを傍受して変更できれば、<Location>プロパティのURLを変更することで、ダウンロードを任意の場所へリダイレクトできると推測しています。Notepad++開発チームも、トラフィックハイジャックの正確な方法について調査を継続していると述べています。

Notepad++開発チームの迅速な対応とセキュリティ強化

この事態を受け、Notepad++の開発者であるドン・ホー氏は迅速に対応しました。まず、ネットワークハイジャックの可能性を軽減するため、11月18日にバージョン8.8.8をリリースし、更新がGitHubからのみダウンロードされるように変更しました。さらに強力な修正として、12月9日にはバージョン8.8.9がリリースされました。

Notepad++ バージョン8.8.9では、ダウンロードされたインストーラーの署名と証明書を検証し、検証に失敗した場合は更新を中止する機能が追加されました。セキュリティ通知には、「Notepad++ & WinGUp は、更新プロセス中にダウンロードされたインストーラーの署名と証明書を検証するよう強化されました。検証に失敗した場合、更新は中止されます」と記載されています。

すべてのユーザーへの推奨と継続的な調査

Notepad++開発チームは、すべてのNotepad++ユーザーに対し、速やかに最新バージョン 8.8.9 へのアップグレードを強く推奨しています。また、バージョン8.8.7以降、すべての公式バイナリとインストーラーは有効な証明書で署名されています。以前に古いカスタムルート証明書をインストールしていたユーザーは、これを削除すべきであるとも警告しています。トラフィックハイジャックの正確な手口についてはまだ調査が継続されており、具体的な証拠が確立され次第、ユーザーに情報が提供される予定です。

元記事: https://www.bleepingcomputer.com/news/security/notepad-plus-plus-fixes-flaw-that-let-attackers-push-malicious-update-files/

投稿をさらに読み込む