De populaire gratis teksteditor Notepad++ blijkt kwetsbaar voor kwaadwillenden die het updateproces kapen. Meerdere bedrijven werden getroffen door malware die zich voordeed als legitieme software-update. Een noodpatch is beschikbaar, maar vragen over de precieze aanvalsmethode blijven.
Software-updates horen onzichtbaar en veilig te verlopen – installeren, herstarten, klaar. Maar bij Notepad++, de veelgebruikte gratis teksteditor voor Windows, liep het updateproces de afgelopen tijd grondig mis. Gebruikers die dachten een routineupdate te installeren, kregen in werkelijkheid malware op hun computer die persoonlijke gegevens verzamelde en doorstuurde naar onbekende servers.
Mysterieus proces verzamelt systeeminfo
De eerste meldingen kwamen binnen via het communityforum van Notepad++. Een gebruiker stuitte op een onbekend proces genaamd ‘%Temp%\AutoUpdater.exe’ dat actief was op zijn systeem. Nader onderzoek wees uit dat dit geen onderdeel was van de echte Notepad++-software, maar malware die informatie over de computer verzamelde en opborg in een bestand genaamd ‘a.txt’. Die gegevens werden vervolgens geüpload naar temp.sh, een bestandsdeeldienst die vaker opduikt in verband met verdachte activiteiten.
Hoe de malware precies via Notepad++ op systemen terechtkwam, is nog niet met zekerheid vastgesteld. Gebruikers in het forum speculeren dat er een lek zit in WinGUp, het updatesysteem dat Notepad++ gebruikt. De veronderstelling is dat aanvallers erin slaagden het webverkeer om te leiden, waardoor de auto-updater in plaats van een legitieme update een geïnfecteerde versie van de software binnenhaalde.
“Gerichte aanvallen op bedrijven met belangen in Oost-Azië”
Beveiligingsonderzoeker Kevin Beaumont, bekend om zijn analyses van cyberdreigingen, heeft inmiddels alarm geslagen. In een blogpost schrijft hij dat minstens drie bedrijven door de kwetsbaarheid zijn getroffen. Opmerkelijk genoeg gaat het in alle gevallen om organisaties met “belangen in Oost-Azië”. Volgens Beaumont wijst dat erop dat het geen willekeurige aanvallen zijn, maar zeer gericht werk.
De technische uitvoering vraagt bovendien aanzienlijke middelen, benadrukt de onderzoeker. “Omdat het verkeer naar notepad-plus-plus.org relatief zeldzaam is, is het mogelijk om ergens in de ISP-keten te zitten en dat verkeer om te leiden naar een andere download. Om dat op enige schaal te doen, zijn veel middelen nodig.” Met andere woorden: dit is geen werk van scriptkiddies, maar van partijen met de capaciteit om internetverkeer te manipuleren.
Tegelijk wijst Beaumont erop dat het ook mogelijk is dat aanvallers via malvertising – kwaadaardige online advertenties – valse versies van Notepad++ aanbieden. Die tactiek wordt vaker ingezet om populaire software na te bootsen en gebruikers naar geïnfecteerde downloads te lokken.
Noodpatch voegt certificaatcontrole toe
Hoewel het onderzoek naar de exacte oorzaak nog loopt, heeft het ontwikkelteam van Notepad++ niet stilgezeten. Op 9 december werd versie 8.8.9 uitgebracht, een noodupdate die ervoor moet zorgen dat de auto-updater niet langer zomaar software-updates kan installeren zonder verificatie.
De belangrijkste wijziging: alle officiële binaire bestanden en installatietools zijn nu voorzien van geldige cryptografische certificaten. Zonder zo’n certificaat weigert de software simpelweg te installeren. Dat moet voorkomen dat kwaadwillenden vervalste updates kunnen doordrukken, zelfs als ze erin slagen het verkeer om te leiden.
Gebruikers van Notepad++ wordt met klem geadviseerd zo snel mogelijk te upgraden naar versie 8.8.9. Wie dat nog niet heeft gedaan, loopt risico op infectie. Overigens was het probleem al deels aangepakt in eerdere versies: vanaf 8.8.7 controleert de software of een geldig certificaat aanwezig is, en met 8.8.8 werd de beperking toegevoegd dat updates alleen nog vanaf de officiële GitHub-repository van Notepad++ gedownload kunnen worden.
Vertrouwen in automatische updates geschaad
De kwestie onderstreept een breder probleem: automatische updates zijn weliswaar handig, maar maken software ook kwetsbaar als het updateproces zelf wordt gecompromitteerd. Gebruikers vertrouwen erop dat hun systeem zelf legitieme updates binnenhaalt, maar dat vertrouwen kan worden misbruikt als aanvallers zich tussen de software en de updateserver weten te wurmen.
Voor Notepad++, dat door miljoenen mensen wereldwijd wordt gebruikt, is dit een gevoelige kwestie. De software is gratis, open source en populair bij zowel hobbyisten als professionele ontwikkelaars. Dat maakt het ook een aantrekkelijk doelwit voor aanvallers die toegang willen tot systemen van specifieke doelgroepen.
Of de gerichte aanvallen die Beaumont beschrijft het werk zijn van een specifieke dreiging of onderdeel van een bredere campagne, blijft voorlopig onduidelijk. Wat wel duidelijk is: wie Notepad++ gebruikt en de laatste weken geen update heeft geïnstalleerd, doet er verstandig aan dat alsnog te doen. En misschien is het geen slecht idee om in de tussentijd even te controleren of er verdachte processen actief zijn in Taakbeheer.
Lees ook: Vergeet je WinRAR niet te updaten: kritiek beveiligingslek wordt actief misbruikt
