News Updater angreifbar: Notepad++ 8.8.9 sollte umgehend manuell installiert werden

[Bright0001]

Für MacOS habe ich leider noch keine gute notepad++ Alternative gefunden.

Ich nutze zwar Linux und kein Mac, aber NP++ gibt es ebenso nicht für Linux und ich hatte deshalb beim Wechsel von Windows auf Linux nach einer Alternative gesucht.

Hattet ihr euch Notepadqq mal angeschaut?

Ich nutze jetzt Visual Studio Code.

Oder halt Pycharm mit deren Scratches, JetBrains' Multi-Line-Editing ist absolut Chefs-Kiss.

Ich frag mich welche Entwickler N++ noch regelmäßig im Alltag nutzen und warum? 🤔

Öffnet quasi alles ohne aufgebläht zu sein, und weil es ungespeicherte Änderungen trotzdem selbstständig persistiert, ist es auch eine super praktische Geschichte für kurze Notizen und als Zwischenspeicher für allerlei Dinge.

Denn zuerst müsste sich ja jemand Zugang zum System verschaffen und etwas manipulieren bevor der "Angriff" stattfindet.

Ne, per Man-in-the-middle konnte sich ein Angreifer zwischen euch und den Update-Server setzen und die Pakete verändern. Im Payload gibt es bspw. eine "<Location>", die man statt auf das echte auf ein infiziertes Update verweisen lassen konnte. Beim Ausführen des Updates würde dann entsprechend schädlicher Code ins System geschleust.

 

[Boerkel]

Als Entwickler für Entwicklung nutze ich das schon lange nicht mehr. (Gab mal ne Zeit an der Uni, aber eigentlich auch nur recht kurz)
Es ist ein praktsiches Tool um allerlei Textdateien schnell zu öffnen und ordentlich dargestellt zu bekommen. Mit ein paar Erweiterungen ist noch mehr möglich.
Mittlerweile ist das normale Notepad auch ganz nett, aber mehr halt nicht.

 

[Sebbi]

Wie genau konnten die ein MTM für das Update vom NP++ Server machen ?

der Angriffsvektor ist schwierig, denn dazu müsste der Angreifer Zugriff auf ISP Bereich oder im Backbone haben. Das haben idR nur die Staatlichen Akteure, auch bei den aktuellen Opfern zeigt sich eher, das das ein recht spezialisierter Angriff ist, nicht auf die Masse.

https://doublepulsar.com/small-numb...ng-security-woes-371d7a3fd2d9?gi=6202a578e085 zeigt den Vektor auf, wie da vorgegangen wurde.

Das Update erfolgt jetzt deshalb, um Trittbrett Fahrer zu verhindern.

Ne, per Man-in-the-middle konnte sich ein Angreifer zwischen euch und den Update-Server setzen und die Pakete verändern.

dann sind die aber idR. schon im Netzwerk. Das ganze im IPS / Backbone Netz zu machen, ist für die "Astloch" Cracker, sprich ohne staatlichen Hintergrund, nicht zu machen.

N++ lädt via HTTPS eine XML Datei, in der wiederum der HTTPS-Download Link zum Updater ist.
Wie genau ist das jetzt manipulierbar, ohne das einem die HTTPS-Verbindung um die Ohren fliegt?

aufgrund von MitM - dieser fängt den HTTPS Verbindungsaufbau ab und verbindet sich stattdessen mit dem Opfer und lässt das wie eine normale Verbindung mit dem Ziel aussehen, da der HTTPS Verbindungsaufbau mit dem Angreifer erfolgt und nicht manipuliert ist. Nun baut der Angreifer selbst eine Verbindung zum eigentlichen Ziel auf, was für das Ziel auch wie eine ganz Normale Verbindung aussieht.

Dann sendet das Opfer Daten an das vermeintliche Ziel und dier Angreifer gibt diese weiter an das Ziel. Sprich der packt die Daten aus der Verbindung vom Opfers aus, verpackt die neu und sendet die zum Ziel.

Erst sobald Daten kommen, die für den Angreifer interessant sind, sendet er diese nicht so weiter, wie Sie vom Opfer / Ziel gesendet wurden, sondern manipuliert diese. In dem Fall eine XML Datei mit einen manipulieren Download Ziel.

Die chinesiche "Firewall" hat auch die Möglichkeit des MitM Angriffs. Darum sind VPN Verbindungen mit entsprechenden Zertifikaten und weiteren Sicherheitsmaßnahmen in dem Bereich auch so wichtig, um einen eingreifen des Chinesichen Staates in die Verbindung zu verhindern.

Das ganze ist im öffentlichen Netzen quasi nicht ohne staatliche Akteure / gekaufte Mitarbeiter zu bewältigen, daher ist das ganze schon eher als staatlicher Angriff aus Organisationen zu werten, die in bestimmten Teilen von Asien aktiv sind zum Missfallen einer Regierung.
Denn ansonden hätten wir schon wesentlich mehr Probleme im Internet und es wäre eigentlich ohne Verseuchungsgefahr gar nicht nutzbar.

 

[Siebenschläfer]

Das Sicherheitsproblem kann man Task Scheduler beobachten, wo haufenweise amoklaufende Updater mit SYSTEM-Rechten ausgeführt werden. Was soll man davon erwarten?

 

[Misdemeanor]

Früher habe ich im beruflichen Umfeld UltraEdit regelrecht benötigt, da habe ich Gigabyteweise Flat- und Outfiles von Datenbanken editiert: Laden teils sehr großer Dateien, Ausführen von Makros, Verwenden von regulären Ausdrücken u.a. für Suchen + Ersetzen, anpassbares Syntax Highlighting, Diff. uvm. ... Notepad++ gab es damals überschneidend recht neu, und es konnte bei Weitem nicht das, was in UE enthalten ist/war. Aber die Zeiten haben sich geändert, mittlerweile ist es zum super Tool geworden, auf welches ich heute nicht mehr verzichten möchte.

Hier merkt man angesichts der Sicherheitslücke aber auch das Problem solcher leidenschaftlich gepflegter Software: einem einzelnen Entwickler passiert vielleicht eher so etwas als einem kommerziellen Team. Deswegen das Produkt gleich zu verbannen geht eben nur, wenn man eine Alternative an der Hand hat.

Für viele reicht der Editor ("Notepad") in Windows aus, insbesondere in den neueren Builds, dass auch temporäre Dateien beim Schließen und Öffnen selbst ohne Speichern beibehalten werden, neu sogar mit etwas Markup, aber dann gibt's wiederum Power User und Freunde von Automatisierungen, da kommt man um eine komplexere Lösung nicht herum.

Mich würde mal interessieren, wie es damit aussieht, wo diese Software jetzt rausgeflogen ist: welche Alternative setzt ihr ein? Welche Funktionen sind vielleicht Alleinstellungsmerkmale und worauf könnt/wollt ihr nicht mehr verzichten?

 

[ottoman]

sublime text (ist auch cross-plattform, muss man sich nicht umgewöhnen)

Als ich beruflich noch auf macOS unterwegs war, habe ich mir schon mal ein paar Tools gekauft, ohne die es leider nicht ging. Aber 99$ für einen Texteditor sehe ich irgendwie nicht ein :/

 

[Donnerkind]

Ich würde ja am liebsten vim oder neovim einsetzen, damit wäre ich sooo viel schneller als mit einem klassischen Editor. Aber das ist eher suboptimal in die Windows-Umgebung integriert (Stichwort Zwischenablage) und ich mag die praktische Funktion von NPP, dass es beim Schließen die Session speichert, inklusive aller noch unbenannten Dateien. Das ist in sieben Jahren erst einmal schief gegangen, wodurch ich ein paar unbenannte Dateien verloren hab.

Mittlerweile ist das normale Notepad auch ganz nett, aber mehr halt nicht.

Kann das Syntax-Highlighting?

 

[Boerkel]

Nein. Das heißt alles was über eine einfach config oder kleine json/xml hinausgeht, ist mit dem normalen Editor nicht zu empfehlen.

 

[Vexz]

Hattet ihr euch Notepadqq mal angeschaut?

Ja, aber das Projekt ist afaik tot. Würde ich also nicht mehr empfehlen zu nutzen.

 

[Unioner86]

Danke für die Warnung!

 

[Grestorn]

Das Sicherheitsproblem kann man Task Scheduler beobachten, wo haufenweise amoklaufende Updater mit SYSTEM-Rechten ausgeführt werden. Was soll man davon erwarten?

Und ein

sudo apt update && apt upgrade

ist viel besser und sicherer, richtig?

 

[lynx007]

@Brrr

@leipziger1979

Der Dev hatte das selbstsignierte Update inkl. Zertifikat öffentlich zugänglich im Internet auf Github verstaut. Dadurch konnten die angreifer ein eigenes Update bauen. Dann kompromitierten sie wohl den Netzverkehr über den Route oder DNS und damit sie eine kompromitierte XML Datei ein schleusen konnten die auf den eigenen Server für das Update verweist. Die Handschrift soll auf staatlich beaufrtage asiatische Akteure hinweisen.

Spoiler: heise vid

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

[/SPOILER]

Private Key Compromise ⟹ DNS/Traffic Hijacking ⟹ XML Injection (Update Hijacking) ⟹ Code Signature Spoofing ⟹ Payload Delivery & Privilege Escalation (PE).

 

[Bright0001]

Ja, aber das Projekt ist afaik tot. Würde ich also nicht mehr empfehlen zu nutzen.

Wieso? Die Nützlichkeit hängt ja nicht davon ab wie aktiv das Programm entwickelt wird, und Sicherheit ist bei einem offline Text-Editor ohne root-Zugriff jetzt auch nicht das große Thema.

 

[TomH22]

Mich würde mal interessieren, wie es damit aussieht, wo diese Software jetzt rausgeflogen ist: welche Alternative setzt ihr ein? Welche Funktionen sind vielleicht Alleinstellungsmerkmale und worauf könnt/wollt ihr nicht mehr verzichten?

Eigentlich nutze ich N++ fast nicht mehr, deswegen werde ich es jetzt vermutlich einfach rausschmeißen. Für alle Arten von Sourcefiles nutze ich sowieso nur noch VSCode, denn man kann bequem mehrere Workspaces einrichten, es gibt für mehr oder weniger Alles und Jedes ein Plugin, man kann fast jeden Code damit debuggen. Für schnelles öffnen einer beliebigen Textdatei ist das aktuelle Notepad mittlerweile fast genauso gut wie N++. Es kann auch mit LF vs CR/LF Zeilenenden umgehen, usw.

Unter Linux nutze ich gelegentlich Geany

 

[Siebenschläfer]

sudo apt update && apt upgrade

ist viel besser und sicherer, richtig?

Nimm den App Store, MSI Deployment, WinGet oder whatever.

Eine Herde amoklaufender Updater ist es jedenfalls nicht. Sondern eine riesige Angriffsfläche.

 

[lynx007]

sudo apt update && apt upgrade

ist viel besser und sicherer, richtig?

Ja! Ich bin zwar auch ein fauler unverbesserlicher Windows "DAU" . Aber aus Sicherheitsperspektive gibt es da schon paar kleine Unterschiede... Und Linux erzieht einen auch sehr schnell mit Schmerz zu einer Verantwortungsvollen nutzung von "sudo".
Aber Amok laufende auto bots im hintergrund =! "sudo apt update && sudo apt upgrade -y"

 

[Grestorn]

Nimm den App Store, MSI Deployment, WinGet oder whatever.

Eine Herde amoklaufender Updater ist es jedenfalls nicht. Sondern eine riesige Angriffsfläche.

Es ist immer eine Angriffsfläche. Man kann sich gut darüber streiten, ob ein verteiltes System besser als ein zentralisiertes ist.

Wenn jemand ein Package Repo hackt (was ja schon passiert ist) oder einen Win Update Server oder das MS Store Repo oder oder oder..., ist der Schaden ungleich höher.

Vor allem wenn der Angreifer es schafft, eine Weile unentdeckt zu bleiben und Sleeper-Schadsoftware über einen längeren Zeitraum auszuliefern.

Die Message: Nichts ist sicher. Und es bringt nichts, auf das eine oder andere Verfahren höhnisch herabzublicken. Am Ende ist man, wenn's dumm läuft, selbst der Dumme.

Ergänzung (Donnerstag um 15:34)

Ja! Ich bin zwar auch ein fauler unverbesserlicher Windows "DAU" . Aber aus Sicherheitsperspektive gibt es da schon paar kleine Unterschiede... Und Linux erzieht einen auch sehr schnell mit Schmerz zu einer Verantwortungsvollen nutzung von "sudo". Ich mein wozu gibts es den "sudo chmod 777 /" oder "sudo rm -rf /"? Richtig, allein dem Affen beizubringen was man mit sudo macht und nicht macht.

Na, für einfacher Anwender ist das Linux Modell einfach ungeeignet.

Die machen nun mal manuell kein sudo apt upgrade. Ever.

Das muss automatisiert laufen.

Und Deine Tabelle ist technisch nicht haltbar. Auch unter Linux gibt es jede Menge Prozesse, die permanent mit Root-Rechten arbeiten. Das ist bei jedem OS so. Und wenn Du da einen Angriff hinbekommst, hat das System verloren.

Diese Vergleiche was nun besser und sicherer ist, zwischen Windows und Linux ist meist eher von Ideologie getragen und eher selten von echtem technischen Verständnis.

(Das geht weniger gegen Dich persönlich, sonderrn in diesem Fall zu der Person die die von Dir verwendete Tabelle erstellt hat)

 

[lynx007]

@Grestorn

Deshalb gibts ja auch Mac

 

[0x8100]

Wenn jemand ein Package Repo hackt (was ja schon passiert ist)

was ist bei dir ein "hack"? dass ein mirror manipulierte pakete verteilt? dagegen helfen checksummen und signaturen, die auch von allen relevanten paketmanagern verwendet werden. ansonsten fällt mir gerade kein fall ein, dass z.b. von debian, redhat o.a. signierte malware verteilt wurde.

Das muss automatisiert laufen.

natürlich kann man auch unter linux automatische updates haben. aber das hast du ja sicherlich schon gewusst.

 

[Vexz]

Wieso? Die Nützlichkeit hängt ja nicht davon ab wie aktiv das Programm entwickelt wird, und Sicherheit ist bei einem offline Text-Editor ohne root-Zugriff jetzt auch nicht das große Thema.

Der Gedanke, eine tote Software weiter zu nutzen, gefällt mir einfach schon nicht. Notepadqq auf einer Immutable Distro zu installieren, geht vermutlich sowieso auch nur mit Umständen, wenn überhaupt, denn als Homebrew gibt es das aucht nicht. Ich bin mit VS Code als Alternative zufrieden, entsprechend habe ich auch keinen Wunsch zu einer toten Software zu wechseln.