Anche se Microsoft ha migliorato il suo Notepad (Blocco note), molti utenti preferiscono utilizzare il popolare editor open source Notepad++. Con l’ultima versione 8.8.9 è stata risolta una grave vulnerabilità che poteva essere sfruttata per scaricare eseguibili compromessi (malware).

Vulnerabilità in WinGUp

Le prime segnalazioni relative alla vulnerabilità risalgono a circa due mesi fa, quando era disponibile Notepad++ 8.8.4. Un utente ha scoperto che WinGUp scarica il file AutoUpdater.exe da un sito sconosciuto. L’eseguibile è un infostealer che raccoglie informazioni sul dispositivo, successivamente copiate in un file di testo e inviate ad un server remoto.

WinGUp è l’updater di Notepad++. Invia la versione in uso al sito ufficiale e, se diversa dall’ultima disponibile, scarica l’aggiornamento sul computer. Come ha descritto il noto ricercatore di sicurezza Kevin Beaumont, qualcuno ha sfruttato la vulnerabilità per intercettare il traffico e dirottare la richiesta verso un altro dominio, dal quale è stato scaricato il file AutoUpdater.exe .

Lo sviluppatore di Notepad++ (Don Ho) ha rilasciato il primo fix con la versione 8.8.8 del 18 novembre. La vulnerabilità è stata risolta definitivamente con Notepad++ 8.8.9. Lo sviluppatore spiega che, a causa di un problema relativo alla verifica di integrità e autenticità del file, il cybercriminale ha sostituito l’eseguibile legittimo con quello infetto.

È in corso un’indagine per determinare l’esatto metodo usato per il dirottamento (hijacking) del traffico. Gli utenti devono installare l’ultima versione dell’editor che include la verifica della firma e del certificato (GlobalSign) durante la procedura di aggiornamento. Se fallisce, la procedura viene bloccata.

Kevin Beaumont ha inoltre avvisato gli utenti che la popolarità di Notepad++ viene sfruttata per attacchi di malvertising. Quando si cerca l’editor su Google appaiono risultati sponsorizzati con link che puntano a versioni fasulle. Contengono malware che possono rubare dati o scaricare altri payload pericolosi, ransomware inclusi.