Notepad++ เวอร์ชัน 8.8.9 ถูกอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยในเครื่องมืออัปเดตที่ชื่อ WinGUp หลังจากที่มีนักวิจัย และผู้ใช้งานรายงานเหตุการณ์ที่ตัวอัปเดตทำการดาวน์โหลดไฟล์ Executable ที่เป็นอันตรายมา แทนที่จะเป็นแพ็กเกจอัปเดตที่ถูกต้อง
สัญญาณแรกของปัญหานี้ปรากฏขึ้นในกระทู้หนึ่งบนเว็บบอร์ดชุมชนของ Notepad++ ซึ่งผู้ใช้รายหนึ่งรายงานว่าเครื่องมืออัปเดตของ Notepad++ หรือ GUP.exe (WinGUp) ได้เรียกใช้งานไฟล์ "%Temp%\AutoUpdater.exe" ที่ไม่ทราบที่มา ซึ่งไฟล์ดังกล่าวได้เรียกใช้คำสั่งเพื่อรวบรวมข้อมูลของอุปกรณ์
ตามข้อมูลจากผู้รายงาน ไฟล์ executable ที่เป็นอันตรายนี้ได้เรียกใช้คำสั่งตรวจสอบข้อมูลระบบหลายรายการ และบันทึกผลลัพธ์ลงในไฟล์ที่ชื่อ 'a.txt'
จากนั้น มัลแวร์ autoupdater.exe ได้ใช้คำสั่ง curl.exe เพื่อลักลอบส่งไฟล์ a.txt ไปยัง temp[.]sh ซึ่งเป็นเว็บไซต์ฝากไฟล์ที่เคยถูกนำมาใช้ในปฏิบัติการแพร่กระจายมัลแวร์มาก่อนหน้านี้
เนื่องจากตัว GUP นั้นใช้งานไลบรารี libcurl แทนที่จะเรียกใช้คำสั่ง curl.exe โดยตรง และปกติแล้วจะไม่มีการเก็บรวบรวมข้อมูลประเภทนี้ ผู้ใช้งาน Notepad++ รายอื่นจึงตั้งข้อสังเกตว่า ผู้รายงานปัญหาอาจเผลอไปติดตั้ง Notepad++ เวอร์ชันปลอม (Unofficial) ที่มีมัลแวร์แฝงอยู่ หรือไม่ก็ข้อมูล traffic ของระบบอัปเดตอัตโนมัติถูกดักจับ และแทรกแซงระหว่างทาง
เพื่อช่วยลดความเสี่ยงจากการถูกดักจับเครือข่าย Don Ho ผู้พัฒนา Notepad++ จึงได้ออกเวอร์ชัน 8.8.8 เมื่อวันที่ 18 พฤศจิกายนที่ผ่านมา โดยกำหนดให้การดาวน์โหลดไฟล์อัปเดตต้องทำผ่าน GitHub เท่านั้น
เพื่อเป็นการแก้ไขปัญหาให้รัดกุมยิ่งขึ้น จึงมีการปล่อย Notepad++ เวอร์ชัน 8.8.9 ออกมาเมื่อวันที่ 9 ธันวาคมที่ผ่านมา ซึ่งจะช่วยป้องกันไม่ให้มีการติดตั้งไฟล์อัปเดตที่ไม่มี Code-signing certificate ของผู้พัฒนา
ประกาศแจ้งเตือนความปลอดภัยของ Notepad++ 8.8.9 ระบุไว้ว่า "ตั้งแต่เวอร์ชันนี้เป็นต้นไป Notepad++ และ WinGUp ได้รับการปรับปรุงความปลอดภัย (Hardened) ให้ทำการตรวจสอบ signature และ certificate ของตัวติดตั้งที่ดาวน์โหลดมาในระหว่างกระบวนการอัปเดต หากการตรวจสอบล้มเหลว การอัปเดตจะถูกยกเลิกในทันที"
URL การอัปเดตถูกดักแก้ไข
เมื่อช่วงต้นเดือนที่ผ่านมา Kevin Beaumont ผู้เชี่ยวชาญด้านความปลอดภัย ได้ออกมาเตือนว่าเขาได้รับข้อมูลจากองค์กร 3 แห่งที่ได้รับผลกระทบจากเหตุการณ์ด้านความปลอดภัยที่เชื่อมโยงกับ Notepad++
Beaumont อธิบายว่า "ผมได้รับรายงานจาก 3 องค์กรแล้วที่ประสบเหตุการณ์ด้านความปลอดภัยบนเครื่องที่ติดตั้ง Notepad++ ไว้ โดยดูเหมือนว่า Process ของ Notepad++ จะเป็นตัวการที่ทำให้เกิดการโจมตีระบบเข้ามาในขั้นแรก (Initial Access)"
"เหตุการณ์เหล่านี้ส่งผลให้กลุ่มผู้โจมตีสามารถเข้ามาพิมพ์คำสั่งควบคุมระบบได้ด้วยตัวเอง"
นักวิจัยระบุว่าองค์กรทั้งหมดที่เขาได้พูดคุยด้วย ล้วนมีผลประโยชน์เกี่ยวข้องกับภูมิภาคเอเชียตะวันออก และกิจกรรมดังกล่าวดูเหมือนจะมีเป้าหมายที่เฉพาะเจาะจงมาก โดยเหยื่อรายงานว่าพบกิจกรรมการสอดแนมระบบที่ทำโดยมนุษย์หลังจากเกิดเหตุการณ์
เมื่อ Notepad++ ตรวจสอบการอัปเดต โปรแกรมจะเชื่อมต่อไปยัง https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<หมายเลขเวอร์ชัน> หากมีเวอร์ชันที่ใหม่กว่า Endpoint จะส่งข้อมูล XML กลับมา ซึ่งระบุเส้นทางดาวน์โหลดไปยังเวอร์ชันล่าสุด :
Beaumont สันนิษฐานว่า กลไกการอัปเดตอัตโนมัติของ Notepad++ อาจถูกแทรกแซงในเหตุการณ์เหล่านี้ เพื่อส่งไฟล์อัปเดตอันตรายที่ทำให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้จากระยะไกล
Beaumont อธิบายเพิ่มเติมว่า "หากคุณสามารถดักจับ และเปลี่ยนแปลงข้อมูล traffic นี้ได้ คุณก็จะสามารถเปลี่ยนเส้นทางการดาวน์โหลดไปยังที่ใดก็ได้ เพียงแค่แก้ไข URL ในส่วน property <Location>"
นักวิจัยระบุว่า "เนื่องจากการเข้าใช้งานเว็บไซต์ notepad-plus-plus.org นั้นเกิดขึ้นไม่บ่อยนัก จึงมีความเป็นไปได้ที่จะมีการเข้าไปแทรกตัวอยู่ในเครือข่ายของผู้ให้บริการอินเทอร์เน็ตเพื่อเปลี่ยนเส้นทางไปดาวน์โหลดไฟล์อื่นแทน แต่การจะทำเช่นนี้ในวงกว้างจำเป็นต้องใช้ทรัพยากรจำนวนมหาศาล"
อย่างไรก็ตาม Beaumont ตั้งข้อสังเกตว่า ไม่ใช่เรื่องแปลกที่กลุ่มผู้ไม่หวังดีจะใช้โฆษณาแฝงมัลแวร์เป็นช่องทางในการแพร่กระจาย Notepad++ เวอร์ชันอันตรายเพื่อติดตั้งมัลแวร์ลงในเครื่องเหยื่อ
ประกาศแจ้งเตือนด้านความปลอดภัยของ Notepad++ เองก็ยังคงมีความไม่ชัดเจนในเรื่องนี้เช่นกัน โดยระบุว่าทางทีมงานยังคงอยู่ในระหว่างการตรวจสอบว่าข้อมูล traffic ถูกดักจับ และแทรกแซงได้อย่างไร
ข้อความในประกาศแจ้งเตือนด้านความปลอดภัยระบุว่า "การตรวจสอบยังคงดำเนินอยู่เพื่อระบุวิธีการที่แน่ชัดของการดักจับข้อมูล traffic ผู้ใช้งานจะได้รับแจ้งให้ทราบทันทีเมื่อพบหลักฐานที่ชัดเจนเกี่ยวกับสาเหตุของปัญหา"
ผู้พัฒนาแนะนำว่าผู้ใช้งาน Notepad++ ทุกคนควรอัปเกรดเป็นเวอร์ชันล่าสุด 8.8.9 พร้อมทั้งระบุเพิ่มเติมว่า ตั้งแต่เวอร์ชัน 8.8.7 เป็นต้นมา ไฟล์ไบนารี และตัวติดตั้งอย่างเป็นทางการทั้งหมดได้รับการ signed กำกับด้วย certificate ที่ถูกต้องแล้ว ดังนั้นผู้ใช้งานที่เคยติดตั้ง root certificate แบบ custom เองที่เป็นรุ่นเก่าไว้ ควรทำการลบออก
ที่มา : bleepingcomputer
You must be logged in to post a comment.