image

Populaire teksteditor Notepad++ dicht CIA-hack

donderdag 9 maart 2017, 13:47 door Redactie, 5 reacties

De populaire teksteditor Notepad++ heeft een noodpatch uitgebracht wegens een aanval die de CIA had ontwikkeld. De hack kwam door onthullingen van WikiLeaks aan het licht. De inlichtingendienst had een kwaadaardige versie van een dll-bestand ontwikkeld waar Notepad++ gebruik van maakt.

Op een al besmette computer zou de CIA dit dll-bestand kunnen plaatsen. Als de teksteditor werd gestart werd ook dit kwaadaardige dll-bestand geladen. "Dit houdt niet in dat de CIA geïnteresseerd is in je programmeervaardigheden of de inhoud van je sexberichten, maar het voorkomt mogelijke waarschuwingen als het dll-bestand in de achtergrond allerlei gegevens verzamelt", aldus ontwikkelaar Don Ho.

Om de aanval te voorkomen controleert de nieuwste Notepad++ nu het certificaat van het dll-bestand voordat het wordt geladen. Als het certificaat ontbreekt of niet geldig is zal de teksteditor niet worden geladen. Dit moet het lastiger maken om te hacken, aldus ontwikkelaar Don Ho. "Zodra de pc van een gebruiker echter is gehackt kunnen hackers al van alles doen. Deze oplossing voorkomt alleen dat Notepad++ een door de CIA gemaakt dll-bestand laadt."

De nieuwste versie is nu via de officiële website te downloaden en zal de komende dagen via de automatische updatefunctie worden uitgerold. Voordat Notepad++ van Sourceforge naar GitHub verhuisde was de teksteditor via de eerst genoemde website al meer dan 29 miljoen keer gedownload.

Reacties (5)
09-03-2017, 15:13 door Anoniem
Er zaten een hele hoop DLL-planting vulns in het archief dus er zullen nog wel meer vendors volgen. Sommige AV bypasses zijn ook hilarisch (hoi Comodo). Verder zag ik diverse Panda's voorbij komen (Huawei), tot op heden niet iets typisch Russisch gezien.
09-03-2017, 16:53 door Anoniem
Ik vind het een beetje vaag.
Dat dll-bestand kan dus door de CIA worden geplaatst op een pc die al besmet (ofwel gehackt) is, om vervolgens gegevens te verzamelen en het voorkomt tegelijkertijd mogelijke meldingen over het verzamelen.
Maar als een pc al besmet is, hoeft die dll toch niet meer geplaatst te worden? Dubbelop lijkt me.
En waarom een dll die bij Notepad++ wordt geladen (en niet bij een programma dat door breder publiek wordt gebruikt)? Zou het een gerichte aanval op programmeurs e.d. kunnen zijn?
Of begrijp ik het verkeerd?
09-03-2017, 18:34 door Anoniem
Door Anoniem: Ik vind het een beetje vaag.
Dat dll-bestand kan dus door de CIA worden geplaatst op een pc die al besmet (ofwel gehackt) is, om vervolgens gegevens te verzamelen en het voorkomt tegelijkertijd mogelijke meldingen over het verzamelen.
Maar als een pc al besmet is, hoeft die dll toch niet meer geplaatst te worden? Dubbelop lijkt me.
En waarom een dll die bij Notepad++ wordt geladen (en niet bij een programma dat door breder publiek wordt gebruikt)? Zou het een gerichte aanval op programmeurs e.d. kunnen zijn?
Of begrijp ik het verkeerd?

Ik zou eerder denken aan het borgen van persistence op het besmette systeem. m.a.w. zorgen dat het systeem zelfs na potentiële opschoning van de initïele besmetting alsnog toegankelijk blijft voor, in dit geval, de C.I.A.

Notepad++ is niet het enige programma dat gebruik maakt van scilexer.dll.
10-03-2017, 01:10 door Anoniem
DLL planting kan gebruikt worden voor persistence of elevation of priviliges. In Norton heb ik recent een dll planting vuln ontdekt die je van normale gebruiker SYSTEM rechten geeft. Dus dan heb je volledige controle op je target machine.
12-03-2017, 20:14 door Anoniem
DIT is al oud nieuws !!!!!!!

Wikileaks, lmfao.. Dit bestond al minimaal dik n jaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.