Onderzoeker waarschuwt voor mogelijke aanvallen via Notepad++
De Britse beveiligingsonderzoeker Kevin Beaumont waarschuwt voor aanvallen op organisaties die mogelijk hebben plaatsgevonden via de populaire editor Notepad++. Beaumont meldt via zijn eigen blog dat hij bekend is met drie organisaties die met beveiligingsincidenten te maken kregen op systemen waarop Notepad++ draaide, en waar het erop lijkt dat aanvallers via Notepad++-processen initiële toegang wisten te krijgen.
"Het is onduidelijk wat er precies gebeurt, en dit blog is niet bedoeld om de (zeer goede) ontwikkelaar van Notepad++ te beschuldigen. Het is alleen om bewustzijn te kweken", aldus de onderzoeker. Hij erkent dat hij met onvolledige informatie werkt, aangezien de 'full picture' nog niet beschikbaar is. Vorige maand verscheen er een update voor Notepad++, onder andere voor het beter beveiligen van het onderdeel dat de updates voor de editor installeert. Deze verbetering moet voorkomen dat een aanvaller de url voor het downloaden van updates weet te kapen.
Notepad++ maakt gebruik van een software-updater genaamd GUP of WinGUP. De updater stuurt informatie over de door de gebruiker gebruikte versie naar een url van Notepad++. Deze url stuurt een xml-bestand terug met daarin een url voor het downloaden van de update. Het verkeer zou over HTTPS moeten gaan, maar volgens Beaumont lijkt het erop dat het mogelijk is om op ISP-niveau het verkeer te manipuleren en TLS te onderscheppen. Daarnaast ging het verkeer bij oudere versies van Notepad++ over HTTP.
De downloads van Notepad++ zijn gesigneerd, maar oudere versies gebruikten een zelf gesigneerd root-certificaat dat op GitHub is te vinden, laat de onderzoeker verder weten. Met versie 8.8.7 wordt er een certificaat van GlobalSign gebruikt. Beaumont merkt op dat er een situatie was waar updates niet goed werden gecontroleerd. De getroffen organisaties zouden twee maanden geleden zijn aangevallen. Afsluitend geeft Beaumont verschillende aanwijzingen waarmee verdachte situaties met betrekking tot Notepad++ zijn te herkennen en adviseert hij organisaties om ervoor te zorgen dat hun gebruikers op versie 8.8.8 zitten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?