Notepad++ komt met update om updateproces beter te beveiligen

[Captain Kirk]

De populaire editor Notepad++ heeft een update uitgebracht die het updateproces van de software beter moet beveiligen. Aanvallers wisten vorig jaar maandenlang via het updateproces van Notepad++ malware onder gebruikers te verspreiden. De aanvallers hadden de shared hostingserver van Notepad++ gecompromitteerd en gebruikten vervolgens een kwetsbaarheid in het updateproces om onder bepaalde gebruikers malafide updates te verspreiden. Via deze updates werd een backdoor op het systeem geïnstalleerd.

Om herhaling te voorkomen heeft de ontwikkelaar van Notepad++ verschillende maatregelen doorgevoerd. Zo wordt de digitaal ondertekende installer afkomstig van github.com geverifieerd. Daarnaast zorgt Notepad++ versie 8.9.2 ervoor dat voortaan ook de XML afkomstig van de Notepad++-server digitaal is gesigneerd en wordt geverifieerd. "Dit "double lock" ontwerp maakt het Notepad++ updateproces robuust en nagenoeg niet te misbruiken", aldus ontwikkelaar Don Ho in een blogposting.

Verder is ook de updater zelf, WinGUp, onderhanden genomen. Zo is onder andere de libcurl.dll dependency verrwijderd om het sideloaden van malafide dll-bestanden tegen te gaan en zijn twee onveilige SSL-opties verwijderd. Naast de aankondiging van versie 8.9.2 heeft Ho ook een diagram gepubliceerd waarin wordt uitgelegd hoe de aanvallers het updateproces konden kapen. Details over de aangevallen gebruikers en organisaties zijn niet openbaar, maar Notepad++ wordt vooral door softwareontwikkelaars gebruikt.

 

bron: https://www.security.nl