Popüler metin düzenleyicisi Notepad++, güncelleme mekanizmasındaki, saldırganların ağ trafiğini ele geçirmesine ve meşru güncellemeler kisvesi altında kötü amaçlı yürütülebilir dosyaları kullanıcılara göndermesine olanak verebilecek ciddi bir güvenlik zayıflığını giderdi.
Güvenlik araştırmacıları yakın zamanda Notepad++ tarafından kullanılan yerleşik güncelleyici WinGup ile ilgili şüpheli trafik modellerini gözlemledi.
Bulgulara göre güncelleme istekleri bazı durumlarda kötü amaçlı sunuculara yönlendiriliyordu. Güncelleyici, orijinal Notepad++ yükleyicilerini almak yerine güvenliği ihlal edilmiş ikili dosyaları indirerek sessiz bir kötü amaçlı yazılım dağıtım kanalı oluşturdu.
Raporların dahili olarak incelenmesi, WinGup’ın indirilen güncelleme dosyalarının bütünlüğünü ve orijinalliğini doğrulama biçiminde bir kusurun keşfedilmesine yol açtı.
Belirli koşullar altında, bir saldırganın Notepad++ güncelleyici istemcisi ile resmi güncelleme altyapısı arasındaki ağ trafiğini engellemesi veya manipüle etmesi halinde, bu zayıflık, yasal yükleyiciyi hileli bir ikili programla değiştirmek için kullanılabilir.
Böyle bir senaryoda, güncelleyici, rutin bir yazılım güncellemesi yapıyormuş gibi görünürken, kötü amaçlı yazılım indirmesi ve çalıştırması için kandırılabilir. Bu tür saldırılar, tedarik zinciri ve güncelleme kanalı uzlaşmalarında sıklıkla görülen klasik ortadaki adam veya trafik kaçırma teknikleriyle uyumludur.
Son Sürümdeki Güvenlik Geliştirmeleri
Sorunu hafifletmek ve araştırmacıların dile getirdiği endişeleri gidermek için en son Notepad++ sürümü, güncelleme işlemi sırasında daha sıkı doğrulama getiriyor.
Hem Notepad++ hem de WinGup, devam etmeden önce indirilen yükleyicilerin dijital imzasını ve sertifikasını doğrulamak için artık güçlendirildi.
İmza veya sertifika kontrolü başarısız olursa güncelleme işlemi derhal durdurulur ve güvenilmeyen kodun yürütülmesi engellenir. Notepad++ geliştiricileri, ele geçirme yöntemine ilişkin soruşturmanın devam ettiğini ve saldırı vektörü hakkında somut deliller oluşturulduktan sonra kullanıcıların bilgilendirileceğini belirtti.
Ayrı olarak, sürüm 8.8.7’den başlayarak, yükleyici de dahil olmak üzere tüm Notepad++ ikili dosyaları GlobalSign tarafından verilen meşru bir sertifika kullanılarak dijital olarak imzalanmıştır.
Bu değişiklik, kullanıcıların özel bir Notepad++ kök sertifikası yükleme ihtiyacını ortadan kaldırır. Proje artık gereksiz güven bağlantılarını azaltmak için önceden yüklenmiş Notepad++ kök sertifikalarının kaldırılmasını öneriyor.
Yeni sürüm 8.8.9, bu güvenlik iyileştirmelerini çeşitli hata düzeltmeleri ve ek geliştirmelerle birlikte paketliyor. Kullanıcıların en son sürüme yükseltmeleri ve yükleyicileri yalnızca 8.8.9 sürümü için tüm değişiklik günlüğünün ve indirme bağlantılarının bulunduğu resmi Notepad++ web sitesinden edinmeleri şiddetle tavsiye edilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
