Plusieurs experts en sécurité et utilisateurs ont récemment signalé des incidents alarmants liés au processus de mise à jour de l'éditeur de code open source Notepad++.
L'enquête a révélé que le trafic de l'utilitaire WinGUp était parfois redirigé vers des serveurs malveillants. Ce détournement de trafic exploitait une faille dans la manière dont l'outil validait l'intégrité et l'authenticité des fichiers téléchargés.
Comment la faille de sécurité a-t-elle été exploitée ?
L'exploitation de la faille de sécurité reposait sur le détournement du mécanisme de vérification de version de Notepad++. Lorsque l'éditeur recherche une mise à jour, il contacte une URL spécifique qui renvoie un fichier XML contenant l'emplacement du nouveau paquet d'installation.
Selon le chercheur en sécurité Kevin Beaumont, " si vous pouvez intercepter et modifier ce trafic, vous pouvez rediriger le téléchargement vers n'importe quel emplacement ". Des attaquants ont ainsi pu substituer l'URL légitime par un lien vers un malware.
Les premiers signes sont apparus sur les forums de la communauté Notepad++, où un utilisateur a rapporté que l'outil de mise à jour avait lancé un exécutable inconnu, AutoUpdater.exe, depuis le répertoire temporaire.
Ce programme malveillant exécutait alors une série de commandes pour collecter des informations sensibles sur l'appareil, avant d'exfiltrer les données collectées via l'utilitaire curl.exe vers un site de partage de fichiers connu pour son utilisation dans des campagnes malveillantes.
Quelles sont les conséquences pour les utilisateurs et qui sont les cibles ?
Kevin Beaumont a indiqué avoir été contacté par trois organisations, toutes ayant des intérêts en Asie de l'Est, qui ont subi des incidents de sécurité directement liés à Notepad++. L'activité semblait être très ciblée et sophistiquée.
Même si les cas identifiés sont des organisations spécifiques, le risque concerne potentiellement tous les utilisateurs de Notepad++. L'éditeur étant extrêmement populaire et largement utilisé dans le monde entier, il constitue une cible de choix pour les cybercriminels.
Le développeur de Notepad++ a confirmé que " l'enquête est en cours pour déterminer la méthode exacte de détournement de trafic ". L'incertitude plane encore sur l'ampleur et les techniques précises des attaquants.
Quelles mesures ont été prises et que doivent faire les utilisateurs ?
Une première réponse a été apportée avec la version 8.8.8, qui forçait les téléchargements à provenir exclusivement de GitHub. Cependant, la solution définitive est arrivée avec la version 8.8.9.
Dans cette nouvelle version, " Notepad++ et WinGUp ont été renforcés pour vérifier la signature et le certificat des installateurs téléchargés pendant le processus de mise à jour. " Si la vérification échoue, la mise à jour est purement et simplement annulée, bloquant ainsi toute tentative d'injection de code.
Il est donc impératif pour tous les utilisateurs de mettre à jour vers la version 8.8.9 de Notepad++. Cette dernière doit être téléchargée et installée manuellement depuis le site officiel. Il est aussi recommandé aux utilisateurs ayant installé un ancien certificat racine personnalisé de le supprimer. Depuis la version 8.8.7, tous les binaires officiels sont signés avec un certificat légitime émis par GlobalSign.