Se é utilizador do Notepad++, é altura de atualizar a sua aplicação imediatamente. O popular editor de código lançou a versão 8.8.9 para corrigir uma vulnerabilidade de segurança crítica no seu componente de atualização, o WinGUp, após vários relatos de que o sistema estaria a ser explorado para instalar malware nos computadores das vítimas.
O alerta surgiu quando utilizadores e investigadores detetaram que o atualizador do programa estava a descarregar executáveis maliciosos em vez dos pacotes de atualização legítimos. Em resposta, o programador Don Ho implementou medidas de segurança reforçadas para garantir a integridade dos ficheiros.
Atualizações que traziam malware em vez de correções
Os primeiros sinais de alarme soaram num tópico da comunidade, onde um utilizador reportou que a ferramenta de atualização do Notepad++, o GUP.exe (WinGUp), estava a iniciar um executável desconhecido localizado na pasta temporária do Windows (%Temp%\AutoUpdater.exe). Este ficheiro, longe de ser uma atualização inócua, executava uma série de comandos para recolher informações sensíveis do dispositivo.
Segundo os relatos, o malware realizava operações de reconhecimento, executando comandos como netstat -ano, systeminfo, tasklist e whoami, guardando os resultados num ficheiro de texto (a.txt). Posteriormente, utilizava o comando curl para exfiltrar esses dados para um site de partilha de ficheiros (temp[.]sh), conhecido por ser utilizado em campanhas de malware.
A situação levantou suspeitas imediatas, uma vez que o GUP utiliza a biblioteca libcurl e não o comando curl.exe do sistema operativo, nem tem por hábito recolher este tipo de informação do sistema.
Suspeitas de interceção de tráfego e alvos específicos
A gravidade da situação foi sublinhada pelo especialista em segurança Kevin Beaumont, que revelou ter conhecimento de três organizações afetadas por incidentes de segurança onde o Notepad++ serviu como vetor de acesso inicial. Segundo a análise detalhada publicada no DoublePulsar, estes ataques resultaram em acesso remoto por parte de agentes de ameaça ("hands on keyboard").
Beaumont sugere que o mecanismo de atualização automática poderá ter sido alvo de "hijacking" (sequestro) de rede. Quando o Notepad++ procura atualizações, contacta um endereço específico (notepad-plus-plus.org) que devolve um XML com o caminho para o download da nova versão. Se um atacante conseguir intercetar e modificar este tráfego, pode redirecionar o download para qualquer localização maliciosa, alterando a propriedade
Curiosamente, o investigador notou que todas as organizações afetadas com quem falou possuem interesses na Ásia Oriental, sugerindo que esta atividade poderá ser altamente direcionada. Embora seja teoricamente possível realizar este tipo de ataque ao nível do fornecedor de internet (ISP), tal exigiria recursos consideráveis.
Verificação de certificados é a nova norma
Para mitigar estes riscos, o programador do Notepad++, Don Ho, agiu rapidamente. Inicialmente, foi lançada a versão 8.8.8 a 18 de novembro, restringindo os downloads apenas ao GitHub. No entanto, a correção definitiva chegou a 9 de dezembro com a versão 8.8.9.
A partir desta versão, o Notepad++ e o WinGUp foram "endurecidos" para verificar obrigatoriamente a assinatura digital e o certificado dos instaladores descarregados durante o processo de atualização. Se a verificação falhar, a atualização é abortada imediatamente, impedindo a instalação de qualquer ficheiro que não tenha sido assinado pelo programador oficial, conforme discutido no tópico oficial da comunidade do Notepad++.
A equipa de desenvolvimento afirmou que a investigação para determinar o método exato do sequestro de tráfego ainda está em curso. Até lá, a recomendação é clara: todos os utilizadores devem atualizar para a versão 8.8.9. Adicionalmente, quem tiver instalado certificados de raiz personalizados antigos deve removê-los, uma vez que, desde a versão 8.8.7, todos os binários oficiais são assinados com um certificado válido.
Nenhum comentário
Seja o primeiro!