News Notepad++ gehackt: Ausgewählte Nutzer erhielten gezielt Fake-Updates

SSD960 · Dienstag um 12:52

Meine Sorgen über die automatischen Updates haben sich schon mehrfach bestätigt. Bequem aber unsicher.

Azdak · Dienstag um 14:26

Ob es irgenwann mal IOCs gibt? So hilft das ja nur arg begrenzt als Info...

zeaK · Dienstag um 15:25

@Azdak https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

Da am Ende stehen ein paar.

Nscale · Dienstag um 15:58

Man wird ja immer gescholten wenn man auch mal die negativen Aspekte von Open Source anspricht. Das nun gerade Notepad++ dazu diente Schadcode auszuliefern, ein Programm das hauptsächlich von Leuten genutzt wird die sich genau damit auskennen, ist schon vielsagend wie besorgniserregend.

M@tze · Dienstag um 16:03

Vielleicht ist auch für den Einen oder Anderen auch dieser Artikel interessant, hat mir zumindest geholfen die Hintergründe besser zu verstehen:

https://arstechnica.com/security/20...promised-for-6-months-in-supply-chain-attack/

AlphaKaninchen schrieb:
Also wenn Notepad++ nicht prüft, dass das Update vom Entwickler signiert ist bevor es installiert wird ist das eine Schwachstelle.

Postman schrieb:
Bitter, aber im Artikel fehlt, dass im kommenden Update ein Prüfungszertifikat eingebaut wird, womit solche Szenarien mit dem Updater gar nicht mehr vorkommen sollten.

Die Updates waren signiert, aber mit einem selbst signierten Zertifikat:

The downloads themselves are signed—however some earlier versions of Notepad++ used a self signed root cert, which is on Github. With 8.8.7, the prior release, this was reverted to GlobalSign. Effectively, there’s a situation where the download isn’t robustly checked for tampering.

Der Aufwand der getrieben wurde, war aber auch beachtlich, wenn man bedenkt dass eine TLS Interception auf ISP Ebene stattfand und dabei dann der Download umgeleitet wurde.

Michael231 · Dienstag um 16:12

Erst einmal danke für den Beitrag. Ich habe soeben von Version 8.8.8 über die Website auf Version 8.9 updated. Allerdings davor immer über den automatischen. Ich habe leider nicht ganz verstanden, ob das Thema damit jetzt erledigt ist, oder noch etwas zu tun ist abgesehen von dem bereits erledigten Update über die Website.

M@tze · Dienstag um 17:21

Da die Angriffe anscheinend nicht großflächig, sondern sehr gezielt erfolgt sind, denke ich nicht dass irgendjemand von uns als Privatperson davon betroffen ist. Trotzdem sollte es Einem zu denken geben...

cumulonimbus8 · Dienstag um 19:00

M@tze schrieb:
die Angriffe

Allgemein gefragt - Wer-oder-Was führt denn auf welche Weise Angriffe durch?

Ein Angriff ist: ich sitze da mit «dem Tool», egal welchem, (theoretisch noch nicht mal geöffnet) und irgendwer schickt von außen einen Befehl der das Tool bewegt Unheil zu stiften.

Vermutlich…
…soll ich wohl das Tool aufrufen und eine mir unbekannte, fremde, aus komischer Quelle stammende Datei öffnen die den Trigger enthält der auf direkt beim Öffnen auslöst.
Komischer Angriff.

Falls also…
…ein immunisiertes Programm [nicht] anspringt wenn ich damit eine obskure Datei öffne…
…ändert das nichts daran, dass ich, allein und nur ich, eine reichliche Eselei begehe.

Liege ich ich mit diesem Fazit falsch?

CN8

Krazee · Dienstag um 22:27

Spriti schrieb:
Mich verwundert eh, dass nicht viel mehr passiert.

Die Dunkelziffer stell ich mir als absolut massiv vor.

Hätte @Jan den Artikel nicht gebracht, wäre das auch bspws. komplett an mir vorbeigegangen. ^^ (auch noch so ein Aspekt)

Wie gut halte ich mich selbst bei so etwas auf dem Laufenden, was alle Soft -und Hardware betrifft, die ich so im Einsatz hab?

Seit geraumer Zeit geht es bei Malware ja auch darum lange unerkannt zu bleiben. Dazu hast du dann noch Informationssperren generell, wenn sich etwas herausstellt und ermittelt werden muss. Auch willst du ja, dass die entdeckte Vulnerabilität nicht noch weiter bekannt wird, wenn du so schon unter Druck stehst, sie zu schließen.

Der Weg bis zur Veröffentlichung von Infos zu solchen Vorkommnissen ist sicher ein interessantes Diagram. Da gehen sicher massiv viele Schleifen zum Anfang zurück, wo es darum geht keine Informationen preiszugeben. Bis der Prozess dann mal durchgerattert ist, und wir Artikel lesen, vergeht sicher auch Einiges an Zeit. Und ein massiver Anteil an Vorkommnissen wird sicher aus diversen, mannigfaltigen Gründen auch nie öffentlich gemacht.

Da kommen rechtliche Sachen mit dazu, was die Sicherheit der Kunden/Nutzer angeht. Obwohl jetzt hier in Sachen open source sicher nicht viel zu machen wäre.

Dann kann ja auch oft noch das Unternehmen erpresst werden. Der Imageschaden ist schon auch nicht zu unterschätzen. Und dass da der Ball in vielen Fällen lange und extrem flach gehalten wird, wundert mich jetzt gar nicht.

Da geht es um massive Schäden, die gerade bei großen Unternehmen durchaus auch große Auswirkungen auf die Beurteilungen an Marktplätzen haben kann.

Gut, wir reden jetzt hier von notepad++ am Ende des Tages. Das ist mir klar ^^

cryeR · Dienstag um 23:21

Micha_80 schrieb:
Ich nutze UniGetUI um Software aktuell zu halten, so auch bei N++. Sind die Paket-Quellen über UniGetUI sicher?

So sicher wie die Metadaten die z.B. bei Github hinterlegt sind, da wird dann meist von der Hersteller Seite direkt runtergeladen. Das ist also lange nicht so sicher wie ein reiner App Store wie Google Play mit Signaturüberprüfung vor jeder Installation. UniGetUI ist also nur relativ "sicher" wenn man msstore als reine Quelle nutzt. Ja Android und Windows vergleicht sich halt wie Äpfel und Birnen im Bereich Sicherheit.

Hatsune_Miku · Gestern um 05:45

Sowas ähnliches gabs doch damals auch bei Keepass oder verwechsel ich was? Wie dem auch sei, ich mache überall wo es geht dieses nervige autogeupdate aus. Ich update immer alle paar monate mal manuell meine software

Cl4whammer! · Gestern um 09:06

Da

M@tze schrieb:
Da die Angriffe anscheinend nicht großflächig, sondern sehr gezielt erfolgt sind, denke ich nicht dass irgendjemand von uns als Privatperson davon betroffen ist. Trotzdem sollte es Einem zu denken geben...

Laut: https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
kann man sich ja auf die Suche machen ob im Appdata noch was liegt ala bluetooth oder bitdefender ordner/dlls, weiteres wie man nachschauen kann steht dort auch.

Fraglich wielange das aber dort liegen geblieben ist, ob es von den hackern removed wurde oder windows irgendwann da mal aufgeräumt hat.

Das ist ja auch ein Zeitraum gewesen über einem halben Jahr und da muss man genau zu dem Zeitpunkt einer laufenden Attacke geupdated haben inklusive ISP/Routerverbindungen genommen haben die faul waren.

M@tze · Gestern um 09:54

cumulonimbus8 schrieb:
Liege ich ich mit diesem Fazit falsch?

Ja.

cumulonimbus8 schrieb:
Allgemein gefragt - Wer-oder-Was führt denn auf welche Weise Angriffe durch?

Ein Angriff ist: ich sitze da mit «dem Tool», egal welchem, (theoretisch noch nicht mal geöffnet) und irgendwer schickt von außen einen Befehl der das Tool bewegt Unheil zu stiften.

Artikel lesen hilft ungemein.

The post said that the attack began last June with an “infrastructure-level compromise that allowed malicious actors to intercept and redirect update traffic destined for notepad-plus-plus.org.” The attackers, whom multiple investigators tied to the Chinese government, then selectively redirected certain targeted users to malicious update servers where they received backdoored updates.

The attackers used their access to install a never-before-seen payload that has been dubbed Chrysalis. Security firm Rapid 7 descrbed it as a “custom, feature-rich backdoor.” “Its wide array of capabilities indicates it is a sophisticated and permanent tool, not a simple throwaway utility,” company researchers said.

According to independent researcher Kevin Beaumont, three organizations told him that devices inside their networks that had Notepad++ installed experienced “security incidents” that “resulted in hands on keyboard threat actors,” meaning the hackers were able to take direct control using a web-based interface. All three of the organizations, Beaumont said, have interests in East Asia.

Wenn für Dich das gezielte Umleiten des Downloadtargets, um eine kompromittierte Version mit umfangreicher Backdoor zu installieren (und diese danach auch zu nutzen) nicht als Angriff zählt, dann weiss ich auch nicht mehr... 🤷‍♂️

Laktose-Larry · Gestern um 12:48

Azdak schrieb:
Ob es irgenwann mal IOCs gibt? So hilft das ja nur arg begrenzt als Info...

Hier gibt es einen sehr ordentlichen IOC:

https://securelist.com/notepad-supply-chain-attack/118708/

cumulonimbus8 · Gestern um 18:48

M@tze schrieb:
Wenn für Dich das gezielte Umleiten des Downloadtargets, um eine kompromittierte Version mit umfangreicher Backdoor zu installieren (und diese danach auch zu nutzen) nicht als Angriff zählt, dann weiss ich auch nicht mehr...

Lesen, wie du sagtest…
Wer initiiert diesen Angriff? Der Heilige Geist?

Wenn du von eine kompromittieren Altversion ausgehst… …müsste der «Angriff» immer und überall statt finden wenn man updatet. Davon ist mir nichts bekannt.
Also - wer greift wie jedwede angreifbare Software an? Per Gedankenübertragung? Kosmische Strahlung?

CN8

Suche

News Notepad++ gehackt: Ausgewählte Nutzer erhielten gezielt Fake-Updates

SSD960

Rear Admiral Pro

Azdak

Lieutenant Pro

zeaK

Lieutenant

Nscale

Lieutenant

M@tze

Admiral Pro

Michael231

Cadet 3rd Year

M@tze

Admiral Pro

cumulonimbus8

Fleet Admiral

Krazee

Lt. Junior Grade

cryeR

Lt. Junior Grade

Hatsune_Miku

Rear Admiral

Cl4whammer!

Commander

M@tze

Admiral Pro

Laktose-Larry

Ensign

cumulonimbus8

Fleet Admiral