Notepad++ — plaši izmantots Windows teksta redaktors — brīdināja, ka tā atjauninājumu infrastruktūra mēnešiem ilgi bija apdraudēta, ļaujot uzbrucējiem selektīvi novirzīt dažus lietotājus uz ļaunprātīgiem atjauninājumiem. Ars Technica ziņo, ka kompromitēšana sākās 2025. gada jūnijā un ka kontrole tika pilnībā atjaunota tikai decembrī.
Šis ir klasisks piegādes ķēdes modelis: uzbrucēji neizmanto katru upuri tieši, bet gan mērķē uz atjaunināšanas ceļu, tāpēc pati programmatūra kļūst par piegādes līdzekli.
Kā izskatījās uzbrukums
Saskaņā ar Ars datiem, uzbrucēji ieguva “infrastruktūras līmeņa” kontroli, kas ļāva viņiem pārtvert un novirzīt atjauninājumu trafiku, kas bija paredzēts Notepad++ domēnam. Tā vietā, lai tiktu skarts katrs lietotājs, novirzīšana bija selektīva — vērsta uz interesējošiem mērķiem.
Šī selektivitāte ir svarīga norāde. Tā liek domāt, ka uzbrucējiem vai nu bija noteikts konkrēts upuris, vai arī viņi centās izvairīties no atklāšanas, samazinot inficēšanās apjomu.
Kāpēc atjauninātāji ir tik vērtīgs mērķis
Automātiskās atjaunināšanas mehānismi ir paredzēti, lai veiktu trīs bīstamas darbības:
- Iegūt kodu no interneta
- Ierakstiet to diskā
- Izpildi to
Tieši to ļaunprogrammatūra vēlas. Vienīgā atšķirība starp “atjaunināšanu” un “inficēšanu” ir verifikācija.
Ja atjauninātājs:
- Neizmanto spēcīgu TLS konsekventi
- Nepārbauda parakstus pareizi
- Uzticas manipulējamam manifesta failam
...tad datplūsmas pārtveršana vai novirzīšana var būt pietiekama, lai apmainītu lietderīgo slodzi.
Notepad++ atjauninātāja specifika (un vājās vietas)
Ars apraksta pielāgotu atjauninātāju (GUP / WinGUP), kas:
- Ziņo par savu versiju Notepad++ URL
- Izgūst atjaunināšanas instrukcijas no XML faila
- Lejupielādē instalētāju pagaidu direktorijā un palaiž to
Daudzu sistēmu vājā vieta ir “manifesta” solis. Ja manifestu var aizstāt vai mainīt, atjauninātāju var norādīt uz jebkuru lejupielādes vietu.
Kuras versijas lietotājiem vajadzētu izmantot
Ars ziņojumā norādīts, ka izstrādātāji mudināja lietotājus pārliecināties, ka viņi izmanto 8.9.1 vai jaunāku versiju.
Kā īkšķa likums šādos gadījumos:
- Dodiet priekšroku manuālai instalēšanai no oficiālās vietnes
- Izvairieties no trešo pušu “lejupielādes spoguļiem” un ar reklāmām piepildītiem meklēšanas rezultātiem
- Uztvert negaidīti savlaicīgus atjaunināšanas uzvednes kā aizdomīgas
Kā novērtēt savu pakļautību riskam
Mērķtiecīgai kampaņai var nebūt perfektu kompromisa rādītāju, taču jūs varat mazināt nenoteiktību:
- Apstipriniet instalēto versijuun salīdziniet to ar pašreizējām versijām.
- Pārbaudiet instalētāja parakstujūsu Notepad++ binārajiem failiem.
- Sistēmas žurnālu pārskatīšananeparastu procesu palaišanai atjaunināšanas laikā (instalētāja procesi, kurus neatpazīstat, tīkla izsaukumi uz neparastiem domēniem).
- Skenēšana ar EDR/AVkas var atklāt zināmas aizmugurējās durvis, par kurām ziņojuši incidentu reaģēšanas darbinieki.
Organizācijām ir arī saprātīgi:
- Ierobežot atjauninātāja komponentu piekļuvi internetam
- Izmantojiet kontrolētu programmatūras izvietošanu (MSI pakotnes, iekšējās krātuves)
Ko tas saka par atvērtā pirmkoda atkarībām
Notepad++ ir bezmaksas, plaši izmantota un bieži vien nepietiekami finansēta, salīdzinot ar tās nozīmi. Šī neatbilstība izpaužas kā trausla infrastruktūra un pielāgotas atjauninājumu sistēmas, kas nebija paredzētas nacionāla līmeņa apdraudējumu modeļiem.
Plašākā mācība nav "neizmantojiet atvērtā pirmkoda programmatūru". Tā ir tāda, ka plaši atkarīgiem atvērtā pirmkoda projektiem ir nepieciešams:
- Modernas atjaunināšanas sistēmas
- Drošības pārskati
- Finansējums infrastruktūrai un incidentu reaģēšanai
Apakšējā līnija
Ja izmantojat Notepad++, pieņemiet, ka atjauninājumu kanāls bija potenciāla uzbrukuma virsma 2025. gadā. Dodieties uz jaunāko versiju, dodiet priekšroku oficiālajām/manuālajām instalācijām un uzskatiet atjauninātāja integritāti (parakstus un manifestus) par reālo drošības robežu.
Latviešu valoda
English
العربية
Čeština
Dansk
Nederlands
Eesti
Suomi
Français
Deutsch
Ελληνικά
Magyar
Italiano
日本語
한국어
Lietuvių kalba
Norsk bokmål
Polski
Português
Română
Русский
Slovenčina
Slovenščina
Español
Svenska
Türkçe