News Updater angreifbar: Notepad++ 8.8.9 sollte umgehend manuell installiert werden

[gaym0r]

Wie genau konnten die ein MTM für das Update vom NP++ Server machen ?

Gute Frage! Hab mich auch gefragt wieso der große Auschrei ist - wenn da jemand nen MitM in meinem Netz macht, hab ich doch schon ganz andere Probleme.

 

[Euphoria]

Wann war das denn bei SmartTube?

Vor paar Wochen erst.
Da muss man die alte App manuell deinstallieren und neue Version installieren. Entwickler hatte die Signaturen und Zertifikate ausgetauscht.
Fehler ist mit Version 30.59 behoben.

Betroffen waren Versionen 30.43 bis 30.47.
https://stadt-bremerhaven.de/smarttube-funktioniert-vorerst-nicht-mehr-unter-android-tv/
@Nexus02

 

[BrollyLSSJ]

oder kann ich einfach die neue Version herunterladen und die aktualisiert sich drüber

Kannst einfach drüber installieren. Ging zumindest sonst immer so. Habe ich heute auf der Arbeit auch einfach so gemacht.

 

[chillipepper]

Da bin ich mir gerade unsicher. Einen Quelltext (oder eventuell einer Komponente vom Text Editor Pro) dazu auf Github gibt es. Aber die Entwcklung selber scheint nicht auf Github stattzufinden. So gesehen hast du dann Recht. Da ist Notepad++ dann besser. Eventuell warte ich auch auf Notepad Next. Der soll auch eine Neuinterpretation von Notepad++ sein.

https://www.texteditor.pro/support/faq/

Is Text Editor Pro open-source?

Partly yes. You can find shared code from github: https://github.com/TextEditorPro

I could share all source code but no one could compile a working program because hundreds of fixes, optimizations, and changes have been made to third-party components and controls. Third-party licenses prohibit source code sharing.

Hmm, was für ein geiles Konzept...

 

[ComputerJunge]

@mibbio
Danke. Wer pflegt das eigentlich konkret? Immer die sogenannte Community (also die übliche Meute der Freiwilligen oder - je nach Sichtweise - der blöden Dummen*)? Das meiste dürfte "irgendwie" automatisiert sein, oder?

Microsoft sehe ich hier in keiner Pflicht.
Obschon: Ein von MS betriebener KI-Agent, welcher "dauernd" News abgrast und im Fall der Fälle die "Repo-Pfleger" oder gar "Entwickler" zumindest "per Push" und "zur Sicherheit" informiert, wäre vielleicht ein gutes Target, um mal einen "echten" Mehrwert von KI-basierter Technologie aufzuzeigen.

*: Klarstellung, für mich sind das Heros.

 

[Gnarfoz]

@Bright0001
Keine Ahnung, wo du was von "Zertifikat im öffentlichen Repo" gelesen hast, davon steht nichts im Artikel.

@M-X @Brrr @Sweepi @gaym0r:
Auf Mastodon formuliert der im Artikel genannte Kevin Beaumont es noch klarer:
https://cyberplace.social/@GossiTheDog/115691672586737292
https://cyberplace.social/@GossiTheDog/115692547383850843

Der Updater hat weder das Update-Paket, das er heruntergeladen hat, irgendwie validiert, noch hat er bei der HTTPS/TLS-Verbindung irgendetwas validiert.
Ein selbst-signiertes Zertifikat für notepad-plus-plus.org hat der auch einfach akzeptiert.


Damit bleibt natürlich immer noch der eigentliche MitM-Teil übrig, der weiterhin für die allermeisten User unrealistisch ist.
Aber zumindest ist damit klar, warum HTTPS nix gebracht hat.

 

[Bale]

Nach Angaben des Entwicklers liegt die Schwachstelle nicht direkt in Notepad++ begründet, sondern betrifft den von der Anwendung genutzten Updater WinGUp.

Ah okay, der Entwickler kann also überhaupts nichts dafür, denn das ist ja eine externe Komponente.

Beaumont betonte, dass den Entwickler selbst keine Schuld treffe, da die Schwachstelle auf die Funktionsweise des verwendeten Updaters zurückzuführen sei.

Das wäre nur wirklich richtig peinlich, wenn es tatsächlich der gleiche Entwickler wäre. Oh. Und auch für die sonst so erklärbärige Computerbase erfrischend unreflektiert. Kurz mal Repos checken, meh.

 

[mibbio]

Danke. Wer pflegt das eigentlich konkret? Immer die sogenannte Community (also die übliche Meute der Freiwilligen oder - je nach Sichtweise - der blöden Dummen*)? Das meiste dürfte "irgendwie" automatisiert sein, oder?

Winget greift auf zwei Quellen zurück. Primärquelle ist msstore, also die API des Microsoft-Store und wenn die gesuchte Software dort nicht zu finden ist, oder der Nutzer die Quelle explizit angibt, wird das Manifest der Software aus dem Community-Repo genutzt.

Das Community-Repo ist letzlich ein Github-Repository, in dem die ganzen Manifests über Pull Requests und Issues eingeflegt und aktualisiert werden. Moderiert werden die Pull Request dann von einem Moderatoren-Team (teils Microsoft-Mitarbeiter und teils Community-Mitglieder). Zusätzlich werden die Manifests auch von einem Validierungs-Bots geprüft, bevor die übernommen werden.

Letzteres ist auch der Grund, warum es über Winget noch nicht die Version 8.8.9 von Notepad++ gibt. Der entsprechende Pull Request wurde schon eingereicht, die Validierung durch den Bot ist aber fehlgeschlagen.
https://github.com/microsoft/winget-pkgs/pull/321309

 

[lynx007]

Selber schuld wer Auto-Update-Nutzt. Bin ja leider auch so Lazy. Direkt wieder abgewöhnen. Weil damit kann halt BadMan auch richtig gut schlechten Code spreaden und es vergehen vieleicht Monate bis die Leute den AngrifsVector begreifen.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Das Sicherheitszertificat öffenltich in Github reinzukleistern ist auch eine Hausnummer.... so als würde ich mein Lappen direkt neben die Autoschlüssel hängen....

 

[Haggis]

Ich nutze zwar Linux und kein Mac, aber NP++ gibt es ebenso nicht für Linux und ich hatte deshalb beim Wechsel von Windows auf Linux nach einer Alternative gesucht. Ich nutze jetzt Visual Studio Code. Habe mir den so eingestellt, dass er wie ein einfacher Texteditor aussieht. Er bietet auch alle Funktionen, die ich so üblich brauche. Reicht mir also. Vielleicht auch für dich eine Option für Mac.

Ich hatte früher auf Windows auch Notepad++ als Standard-Editor und verwende auf dem Mac statt Notepad++ auch Visual Studio Code.

 

[ComputerJunge]

@mibbio
Danke, sehr hilfreiche Erläuterung.

 

[leipziger1979]

Verstehe immernoch nicht ganz wie das funktionieren soll.

Das frage ich mich auch.

Wieder viel Text ohne Details wie genau der Angriff stattfinden soll.
Denn zuerst müsste sich ja jemand Zugang zum System verschaffen und etwas manipulieren bevor der "Angriff" stattfindet.
Wird aber nicht erwähnt.

So wie es bisher geschrieben ist muss man vorher eine andere "Lücke" haben um dann diese ausnutzen zu können.

 

[CoMo]

Blöderweise wurde darüber heute um ~17.30 noch keine neue Version (8.8.9) als verfügbar gemeldet.

Es gibt ja auch keinen akuten Grund zu updaten, so lange man Winget nutzt und nicht den Auto-Updater. Über Winget wurde nie ein Update mit Malware verteilt.

 

[usernamehere]

Danke für die News, hätte ich sonst vmtl. nicht mitbekommen. Nutze das Tool einfach jeden Tag, Installation bzw. Update dauert zum Glück nur gefühlt eine Sekunde

 

[Bright0001]

Keine Ahnung, wo du was von "Zertifikat im öffentlichen Repo" gelesen hast, davon steht nichts im Artikel

Klickst und guckst du hier:

Spoiler

The downloads themselves are signed — however some earlier versions of Notepad++ used a self signed root cert, which is on Github. With 8.8.7, the prior release, this was reverted to GlobalSign. Effectively, there’s a situation where the download isn’t robustly checked for tampering.

Dementsprechend auch mein Beitrag, denn Secrets im Git-Repo sind nicht erst seit gestern ein absolutes No-Go.

 

[CoMo]

Wieder viel Text ohne Details wie genau der Angriff stattfinden soll.
Denn zuerst müsste sich ja jemand Zugang zum System verschaffen und etwas manipulieren bevor der "Angriff" stattfindet.
Wird aber nicht erwähnt.

So wie es bisher geschrieben ist muss man vorher eine andere "Lücke" haben um dann diese ausnutzen zu können.

Das ist eine Man-In-The Middle-Attacke auf den Traffic zw. Updater und Update-Server. Das erfordert Zugriff auf die Infrastruktur dazwischen. Router, Provider-Netze etc.

Das war ein sehr gezielter Angriff, nicht die übliche Malware, auf die man sonst so trifft.

I’ve only talked to a small number of victims. They are orgs with interests in East Asia. Activity appears very targeted.

https://doublepulsar.com/small-numbers-of-notepad-users-reporting-security-woes-371d7a3fd2d9

Das spricht für einen staatlichen Akteur. Normale User waren sicher nicht das Ziel und somit sollte man sich hier auch nicht zu viele Sorgen machen. Update installieren und fertig.

 

[Der-Orden-Xar]

Dementsprechend auch mein Beitrag, denn Secrets im Git-Repo sind nicht erst seit gestern ein absolutes No-Go.

Das Zertifikat, dass man dort in den commits noch findet enthält nur den öffentlichen Schlüssel. Also kein Secret

 

[SSD960]

Ist man denn in Gefahr, wenn man die Updates deaktiviert hat?

Vermutlich nicht.

 

[crogge]

...

Das Sicherheitszertificat öffenltich in Github reinzukleistern ist auch eine Hausnummer.... so als würde ich mein Lappen direkt neben die Autoschlüssel hängen....

Eine bequeme Lösung mit fatalen Folgen.

 

[Hardware_Junkie]

Ich frag mich welche Entwickler N++ noch regelmäßig im Alltag nutzen und warum? 🤔 Ich benutz es einzig zur Code-Analyse wenn die IDE mal streikt, was selten der Fall ist.

Mal schauen ob wir einen Hotfix erhalten.