Impatto Sistemico

Critico (75.0)

Sintesi

Gli sviluppatori di Notepad++, noto editor di testo multipiattaforma, hanno recentemente rilevato una compromissione che ha interessato l’infrastruttura di hosting condiviso utilizzata per la distribuzione degli aggiornamenti del software Notepad.

Tipologia

• Arbitrary Code Execution
• URL Redirection

Descrizione e potenziali impatti

Nel dettaglio, l’incidente non ha interessato il codice sorgente del software, bensì il meccanismo di delivery degli update automatici. La compromissione, presumibilmente scaturita da una vulnerabilità nell’infrastruttura del provider di hosting, ha garantito agli attaccanti l’accesso non autorizzato al server condiviso.

L’ottenimento delle credenziali dei servizi interni ha successivamente permesso di intercettare selettivamente il traffico diretto alla risorsa: https://notepad-plus-plus.org/update/getDownloadUrl.php al fine di distribuire manifest XML opportunamente predisposti.

L’alterazione del documento XML è il fulcro dell’attacco: tale file, di fatto, contiene le istruzioni utili l’aggiornamento del client. Alterandolo opportunamente, gli attaccanti hanno forzato il software – WinGUp – a prelevare un payload malevolo da risorse remote sotto il controllo degli attaccanti, facendolo risultare un update legittimo e aggirando eventuali controlli di sicurezza.

Di conseguenza, tale attività ha permesso l’installazione di pacchetti compromessi su target specifici , sfruttando l’assenza di meccanismi di controllo dell’integrità crittografica nelle versioni del client WinGUp precedenti alla 8.8.9.

L’impatto, sebbene circoscritto a target selezionati [1] , risulta di particolare interesse: l’esecuzione dell’installer malevolo garantisce all’attaccante l’esecuzione di codice arbitrario con i privilegi dell’utente che effettua l’aggiornamento, permettendo la compromissione del sistema ospite. A partire dalla versione 8.8.9, il vendor ha introdotto controlli più stringenti che riguardano il certificato e la firma digitale del software; inoltre, la futura versione 8.9.2 implementerà la firma XMLDSig sui metadati per mitigare ulteriormente il rischio di spoofing.

Ricercatori di Rapid7 hanno infine rilevato evidenze di sfruttamento di questa catena di compromissione come vettore di accesso iniziale finalizzato alla distribuzione della backdoor Chrysalis, impiegata per ottenere persistenza ed esecuzione di codice su sistemi selezionati.

Prodotti e/o versioni affette

Notepad++

• versioni precedenti alla 8.8.9

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Inoltre si consiglia di valutare l’implementazione delle seguenti mitigazioni:

• disinstallare completamente Notepad++ e rimuovere eventuali residui locali (C:\Program Files\Notepad++, %APPDATA%\Notepad++, %LOCALAPPDATA%\Notepad++);
• reinstallare manualmente l’ultima versione sicura (≥ 8.9.1 come dichiarato dagli sviluppatori sul bollettino ufficiale), prelevabile dal sito ufficiale;
• verificare e rimuovere eventuali task pianificati, chiavi di avvio automatico (HKCU\…\Run e HKLM\…\Run) e servizi sospetti;
• verificare la presenza di processi child anomali e installazioni da percorsi temporanei (%TEMP%, %APPDATA%, %LOCALAPPDATA%);
• analizzare il traffico di rete per connessioni outbound insolite o beaconing verso server esterni;
• ruotare tutte le credenziali locali e di sviluppo, incluse API e token memorizzati sulle macchine esposte;
• controllare accessi sospetti a repository interni, share di rete e sistemi CI/CD
• valutare l’implementazionie degli IoC e dei pattern C2 pubblicati da Rapid7 nei propri sistemi EDR/SIEM.

[1] Il vettore di attacco si basa sulla redirezione del traffico: le richieste di aggiornamento provenienti da indirizzi IP o profili utente di specifico interesse per gli attaccanti venivano deviate verso server controllati da terzi.