Onderzoeker waarschuwt voor mogelijke aanvallen via Notepad++
De Britse beveiligingsonderzoeker Kevin Beaumont waarschuwt voor aanvallen op organisaties die mogelijk hebben plaatsgevonden via de populaire editor Notepad++. Beaumont meldt via zijn eigen blog dat hij bekend is met drie organisaties die met beveiligingsincidenten te maken kregen op systemen waarop Notepad++ draaide, en waar het erop lijkt dat aanvallers via Notepad++-processen initiële toegang wisten te krijgen.
"Het is onduidelijk wat er precies gebeurt, en dit blog is niet bedoeld om de (zeer goede) ontwikkelaar van Notepad++ te beschuldigen. Het is alleen om bewustzijn te kweken", aldus de onderzoeker. Hij erkent dat hij met onvolledige informatie werkt, aangezien de 'full picture' nog niet beschikbaar is. Vorige maand verscheen er een update voor Notepad++, onder andere voor het beter beveiligen van het onderdeel dat de updates voor de editor installeert. Deze verbetering moet voorkomen dat een aanvaller de url voor het downloaden van updates weet te kapen.
Notepad++ maakt gebruik van een software-updater genaamd GUP of WinGUP. De updater stuurt informatie over de door de gebruiker gebruikte versie naar een url van Notepad++. Deze url stuurt een xml-bestand terug met daarin een url voor het downloaden van de update. Het verkeer zou over HTTPS moeten gaan, maar volgens Beaumont lijkt het erop dat het mogelijk is om op ISP-niveau het verkeer te manipuleren en TLS te onderscheppen. Daarnaast ging het verkeer bij oudere versies van Notepad++ over HTTP.
De downloads van Notepad++ zijn gesigneerd, maar oudere versies gebruikten een zelf gesigneerd root-certificaat dat op GitHub is te vinden, laat de onderzoeker verder weten. Met versie 8.8.7 wordt er een certificaat van GlobalSign gebruikt. Beaumont merkt op dat er een situatie was waar updates niet goed werden gecontroleerd. De getroffen organisaties zouden twee maanden geleden zijn aangevallen. Afsluitend geeft Beaumont verschillende aanwijzingen waarmee verdachte situaties met betrekking tot Notepad++ zijn te herkennen en adviseert hij organisaties om ervoor te zorgen dat hun gebruikers op versie 8.8.8 zitten.
https://cybersecuritynews.com/notepad-vulnerability/
https://cybersecuritynews.com/notepad-vulnerability/
Een storm in een glas water dus?
https://cybersecuritynews.com/notepad-vulnerability/
Een storm in een glas water dus?
Volgens mij is dat hedendaags de voornaamste reden dat we software z.s.m. updaten. Het nieuws
Zijn post lijkt vooral bedoeld om zichzelf in de picture te zetten. Voor de kwetsbaarheid is al lang en breed gewaarschuwd. Die aandacht lijkt in ieder geval te werken, zie deze nieuwspost...
Notepad++ heeft dit niet onder de aandacht gebracht, maar misschien heb ik iets gemist
Deze discussie is misschien nog interessant
https://www.reddit.com/r/cybersecurity/comments/1pd523b/small_groups_of_notepad_users_report_tool_updater/
Notepad++ heeft dit niet onder de aandacht gebracht, maar misschien heb ik iets gemist
De vraag is; wanneer is het misbruik begonnen? Was dat al voordat op 18 november v8.8.8 werd uitgebracht, of er na? Hackers speuren ook naar releasenotes, opzoek naar kwetsbaarheden die zijn kunnen misbuiken bij organisaties die niet (snel genoeg) patchen.
Er valt hier gewoon niet zoveel over te zeggen want Kevin Beaumont meldt niet heel veel behalve dat hij heeft gehoord dat er incidenten zijn geweest bij drie ogranisaties. Details hierover ontbreken, en ik denk dat vooral de datum van deze incidenten nou juist informatief is.
Notepad++ heeft dit niet onder de aandacht gebracht, maar misschien heb ik iets gemist
De vraag is; wanneer is het misbruik begonnen? Was dat al voordat op 18 november v8.8.8 werd uitgebracht, of er na? Hackers speuren ook naar releasenotes, opzoek naar kwetsbaarheden die zijn kunnen misbuiken bij organisaties die niet (snel genoeg) patchen.
Er valt hier gewoon niet zoveel over te zeggen want Kevin Beaumont meldt niet heel veel behalve dat hij heeft gehoord dat er incidenten zijn geweest bij drie ogranisaties. Details hierover ontbreken, en ik denk dat vooral de datum van deze incidenten nou juist informatief is.
Goed punt!
Dat is inderdaad een van die feestdagen van ze, 1811. Alsof ze even met de release van 8.8.8. wilden gamen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?