Notepad++ ユーザーの注意: ハッキングされたかどうかを確認する時期が来ました

独立研究者の Kevin Beaumont 氏によると、3 つの組織から、Notepad++ がインストールされているネットワーク内のデバイスで「セキュリティ インシデント」が発生し、その結果「脅威アクターがキーボードに手を触れる」結果となり、ハッカーが Web ベースのインターフェイスを使用して直接制御できるようになったとの報告がありました。ボーモント氏によると、3つの組織はいずれも東アジアに関心を持っているという。

研究者は、11月中旬のNotepad++バージョン8.8.8で「Notepad++ではない何かを配信するためにNotepad++アップデータがハイジャックされることを防ぐバグ修正」が導入されたときに疑惑が生じたと説明した。

このアップデートにより、GUP または WinGUP として知られる特別な Notepad++ アップデータが変更されました。 gup.exe 実行可能ファイルは、使用中のバージョンを https://notepad-plus-plus.org/update/getDownloadUrl.php に報告し、gup.xml という名前のファイルから更新の URL を取得します。 URL で指定されたファイルは、デバイスの %TEMP% ディレクトリにダウンロードされ、実行されます。

ボーモントは次のように書いています。

このトラフィックを停止して変更できる場合は、プロパティで URL を変更することで、ダウンロードを任意の場所にリダイレクトできます。

このトラフィックは HTTPS 経由であると考えられますが、HTTPS 経由である可能性もあります。 [able] ISP レベルで TLS を傍受すると、トラフィックが改ざんされます。 Notepad++ の古いバージョンでは、トラフィックは HTTP 経由のみでした。

ダウンロードは自己署名されています。ただし、Notepad++ の一部の古いバージョンでは、Github にある自己署名ルート証明書が使用されていました。以前のリリース 8.8.7 では、GlobalSign に戻りました。事実上、ダウンロードの改ざんが厳密にチェックされない状況が発生します。

Notepad-plus-plus.org へのトラフィックは非常にまばらであるため、ISP チェーン内に留まり、別のダウンロードにリダイレクトされる可能性があります。これをどのような規模であれ実行するには、多くのリソースが必要です。

Beaumont は、Notepad++ の月曜日の勧告の 2 か月前の 12 月にその実用理論を発表しました。 Notepad++ の詳細を見ると、仮説が正しかったことが明らかになりました。