News Updater angreifbar: Notepad++ 8.8.9 sollte umgehend manuell installiert werden

[Grestorn]

was ist bei dir ein "hack"? dass ein mirror manipulierte pakete verteilt? dagegen helfen checksummen und signaturen, die auch von allen relevanten paketmanagern verwendet werden. ansonsten fällt mir gerade kein fall ein, dass z.b. von debian, redhat o.a. signierte malware verteilt wurde.

Ein Hack ist ein illegaler Zugriff auf das Repo und es gibt auch Mittel und Wege illegal an Zertifikate zu gelangen, mit denen man die Pakete signieren kann.

Auch verteilte Updatesysteme können (und müssen) auf signierten Paketen bestehen. Das ist kein Alleinstellungsmerkmal.

Es wird, im Einzelfall, immer wieder mal signierte Malware vetrieben, von allen Repos, nämlich dann, wenn ein einzelnes Paket kompromittiert wird - was immer mal wieder passiert. Ja, das ist kein Angriff auf das Repo selbst, aber es zeigt, dass eben auch dieses Verteilungsverfahren keine 100%ige Sicherheit bieten kann.

Und wehe, es kommt mal jemand irgendwie an einen Privat Key ran, mit dem er selbst signieren kann, und schafft es, ein Repo zu hacken. Dann gute Nacht. Nur weil das noch nicht passiert ist, bedeutet das ja nicht, dass es unmöglich ist.

natürlich kann man auch unter linux automatische updates haben. aber das hast du ja sicherlich schon gewusst.

Ja klar, aber dann fallen all diese in der netten Tabelle genannten "Vorteile" wieder weg, und die Probleme sind 1:1 dieselben wie bei jedem Prozess, der selbstständig automatisiert mit Systemrechten agiert, SW runterlädt und ausführt.

Ich finde es immer nett, dass hier so ideologisch einseitig argumentiert wird.

 

[Der-Orden-Xar]

Der Dev hatte das Update Zertifikat öffentlich zugänglich im Internet auf Github verstaut.

Was kein Problem ist.
Es ist übrings ein RSA Zertifikat mit 16k Größe. Kein privater Key dabei. https://github.com/notepad-plus-plu...mmit/2048d0908618f8d00011263b3245ad5cece69812

 

[Siebenschläfer]

Na, für einfacher Anwender ist das Linux Modell einfach ungeeignet.

Die machen nun mal manuell kein sudo apt upgrade. Ever.

Auf dem Mac schon. Da heißt das halt nicht apt, sondern App Store.

 

[lynx007]

Was kein Problem ist.
Es ist übrings ein RSA Zertifikat mit 16k Größe. Kein privater Key dabei. https://github.com/notepad-plus-plu...mmit/2048d0908618f8d00011263b3245ad5cece69812

Falsch. Das Zertifikat wurde ersetzt, weil der ursprüngliche private Schlüssel des selbstsignierten Zertifikats kompromittiert oder unsicher zugänglich war. Nur der öffentliche Teil des Zertifikats ist für jeden sichtbar; der private Schlüssel muss geheim bleiben, da er für die Signierung der Malware benutzt wurde. Die Zertifikatsgröße spielt dabei keine Rolle.

Die Einbrecher waren schon drinnen, nachdem TV, Auto und Schmuck weg ist, die Schlösser wurden schon ausgetauscht und man hat sich abgewöhnt den Schlüssel in der Vase zu deponieren. Mit anderen worten, das was du jetzt Findest ist ein sicheres öffentliches Zertifikat wo die schlüssel nicht mehr Frei rumliegen. Heise hat ein schöne Vid gemacht dazu.

https://cybernews.com/security/hackers-exploit-vulnerability-in-notepad-plus-plus-updater/

https://six-eight-consulting.de/blog/notepad-plus-plus-updater-malware/

 

[Sebbi]

Na, für einfacher Anwender ist das Linux Modell einfach ungeeignet.

vorallem wenn man die ganzen unlogischen Eigenheiten bedenkt

bestes Beispiel Ubuntu, wenn man das ootB nutzt und nichts rumfrickelt.

Man kann ja Verknüpfungen erstellen von ausführbaren Dateien, die starten im Filemanager auch problemlos, gar kein Problem - Doch wenn man die Verknüpfung auf den Desktop kopiert und die NICHT aus dem Filemanager startet, wird man mit der folgenden Message konfrontiert

Wenn man das als normaler User sieht, vorallem wenn die Verknüpfung im Filemanager funktioniert, denkt man sich WTF was ist das für ne Scheiße. Das man dafür eine gesonderte .desktop Datei erzeugen muss mit gewissen Parametern. darauf muss man erstmal kommen, vorallem da das kein Standard ist und andere Distributionen das nicht so machen etc.

Linux ohne ein Rundum Sorglog Paket ist und bleibt Frickelware, nichts für 0815 Anwender.

 

[Der-Orden-Xar]

Falsch. Das Zertifikat wurde ersetzt, weil der ursprüngliche private Schlüssel des selbstsignierten Zertifikats kompromittiert oder unsicher zugänglich war.

Wo soll das gewesen sein? Das bei Github war nur das Zertifikat, nicht der private Schlüssel.
Das Problem war die fehlerhafte (sprich fehlende) Prüfung der Signatur.

https://cybernews.com/security/hackers-exploit-vulnerability-in-notepad-plus-plus-updater/

"The latest version of Notepad++, v8.8.9, hardens the signature and certificate verification during updates."
Betonung auf Verification

Der commit dazu auf github sagt auch "Force WinGUp to verify the code signing certificate & to validate the signature on the downloaded installer."

Das jetzt verwendete Zertifikat von globalsign lässt sich genauso, wie das alte selfsign herunterladen: https://support.globalsign.com/ca-certificates/globalsign-root-certificates R6 ist das richtige. Das ist immer noch kein Problem

 

[orodigistan]

warum sind die versionen von notepad++ älter als 8.8.9 immernoch herunterladbar.

als der backdoor in XZ utils bekannt wurde, wurden version 5.6.0 und 5.6.1 vom netz genommen.

 

[Bright0001]

Notepadqq auf einer Immutable Distro zu installieren, geht vermutlich sowieso auch nur mit Umständen, wenn überhaupt, denn als Homebrew gibt es das aucht nicht.

Ists bei immutable Distros nicht sowieso Ziel alle Applikationen sandboxed zu installieren? Der empfohlene Weg für Notepadqq sind snaps, und wo ein snap ist, ist ein flatpak meist auch nicht weit.

Ich bin mit VS Code als Alternative zufrieden, entsprechend habe ich auch keinen Wunsch zu einer toten Software zu wechseln.

Ich mein, wenn die Alternative gefunden wurde: tip top. Aber Software stirbt erst mit dem letzten Nutzer, nicht mit dem letzten Entwickler. Der alte Windows-Editor war ja auch nicht tot, nur weil er gefühlte 20 Jahre nicht angefasst wurde.

 

[Vexz]

Ists bei immutable Distros nicht sowieso Ziel alle Applikationen sandboxed zu installieren? Der empfohlene Weg für Notepadqq sind snaps, und wo ein snap ist, ist ein flatpak meist auch nicht weit.

Snaps findest du bei Ubuntu, ich nutze Fedora Kinoite.

Ich mein, wenn die Alternative gefunden wurde: tip top. Aber Software stirbt erst mit dem letzten Nutzer, nicht mit dem letzten Entwickler. Der alte Windows-Editor war ja auch nicht tot, nur weil er gefühlte 20 Jahre nicht angefasst wurde.

Das ist deine Definition, aber nicht meine. Für mich zählt eine Software als tot, wenn sie nicht mehr weiter entwickelt wird.

 

[Bright0001]

Snaps findest du bei Ubuntu, ich nutze Fedora Kinoite.

Und Visual Studio findest du bei Windows - was ja nicht heißt, dass du es nicht auch anderswo installieren kannst. Afaik sind snaps auf allen großen Distros problemlos nutzbar, und wie gesagt, das flatpak ist sicherlich auch nur eine einzige Suchmaschinenanfrage entfernt.

Das ist deine Definition, aber nicht meine. Für mich zählt eine Software als tot, wenn sie nicht mehr weiter entwickelt wird.

Muss dann ja die reinste Leichenschau für dich sein, da unter deine Definition auch so ziemlich alles im LTS-Modus fällt. Wird ja nicht weiterentwickelt, höchsten gepatcht.

 

[Vexz]

Und Visual Studio findest du bei Windows

Du hast da ein "auch" vergessen. Gibt es sogar für Mac.

Afaik sind snaps auf allen großen Distros problemlos nutzbar, und wie gesagt, das flatpak ist sicherlich auch nur eine einzige Suchmaschinenanfrage entfernt.

Ich weiß ja nicht wie du drauf bist, aber irgendwie zu versuchen Snaps unter Fedora nutzen zu wollen, würde ich als Blasphemie bezeichnen. Ich kann mir absolut niemanden vorstellen, der das ernsthaft versuchen wollen würde. Zudem wird das vermutlich nochmal schwieriger, wenn nicht gar unmöglich auf einer immutable distro zu installieren.

Muss dann ja die reinste Leichenschau für dich sein, da unter deine Definition auch so ziemlich alles im LTS-Modus fällt. Wird ja nicht weiterentwickelt, höchsten gepatcht.

Quatsch, solange es noch Sicherheitsupdates bekommt, ist es für mich nicht tot. Es wird ja was weiterentwickelt - eben im Sinne der Sicherheit. Nur das, was gar keine Updates mehr bekommt, ist für mich tot.

 

[Bright0001]

Du hast da ein "auch" vergessen. Gibt es sogar für Mac.

Nichts hab ich vergessen, denn es ist ja eben mein Punkt, dass eine für Windows gemachte Software nicht nur auf Windows verfügbar ist.

Ich weiß ja nicht wie du drauf bist, aber irgendwie zu versuchen Snaps unter Fedora nutzen zu wollen, würde ich als Blasphemie bezeichnen.

Meine Laptop-Rückseite ist nicht mit Stickern zugekleistert - so bin ich drauf. Die Religionskriege über Image/Package-Formate für mich daher von solch großer Relevanz wie der Unterschied zwischen einer .exe und einer .msi.

Zudem wird das vermutlich nochmal schwieriger, wenn nicht gar unmöglich auf einer immutable distro zu installieren.

Wie gesagt: Es gibt sicher ein flatpak, und auch auf einer immutable Distro muss es Möglichkeiten geben Software mit "tiefen" Dependencies ausführen zu können - wenn ichs richtig sehe wäre es bei Kinoite toolbox.

Quatsch, solange es noch Sicherheitsupdates bekommt, ist es für mich nicht tot. Es wird ja was weiterentwickelt - eben im Sinne der Sicherheit. Nur das, was gar keine Updates mehr bekommt, ist für mich tot.

Gehe ich nicht mit; Im LTS wird klassischerweise nur mit Bugfixes und Sicherheitspatches versorgt - es wird also nichts neues hinzugefügt, sondern vorher eingebaute Probleme entfernt.

Auch im großen finde ich die Haltung weiterhin unsinnig: Ist MP3 ein totes Format, weil es seit bald 30 Jahren unverändert ist? Ein Haufen Treiber und Libraries tot, die nicht mehr weiterentwickelt, aber trotzdem regelmäßig genutzt werden? Hashing-Algos und deren Implementierungen tot, weil meist auf eine Referenzimplementierung gesetzt wird, die uralt ist? Praktisch jedes Videospiel, dass jemals entwickelt wurde, "tot", weil keine Updates mehr kommen?

Nein, umgekehrt wird ein Schuh draus: Software stirbt dann, wenn der letzte User weg ist. Und das ist auch ein Problem, eben weil so manche Sache einfach nicht totzukriegen ist; Sei es nun X11, SVN, telnet, oder - Gott bewahre - COBOL.

 

[lynx007]

@Der-Orden-Xar

Man wegen "dir" schaue ich das Heise Video jetzt zum dritten, vierten, funten mal an! Interessiert mich selber.... Leider fehlt in dem Vid sehr viel. Ich habe leider wegen Sodbrennen sehr wenig geschlafen und trotzdem lässt mich diese Thema nicht los.

Ohne P-Key kannst du eigentlich keine gültige Sig erstellen. Und so wie es CT darstellt, offentlich Sig + öffentliche Resporey = gültige Malware, das ist halt Bullshit?!! Su funktioniert keine IT SIcherheitslogic, in einer idealen Welt.

Hoffe das da sich noch echte ITSec Spezialisten damit auseinander setzen. "Force WinGUp to verify the code signing certificate & to validate the signature on the downloaded installer."
das wiederum kann vieles bedeuten.... von " ich bin zu dumm auf meinen p-key aufzupassen(was ich nicht glauben möchte), bis hin zu tatsächlichen gravierenden Sicherheitsfehlern in Programmteilen.

 

[M-X]

https://doublepulsar.com/small-numb...ng-security-woes-371d7a3fd2d9?gi=6202a578e085 zeigt den Vektor auf, wie da vorgegangen wurde.

Leider nichts zum interessanten teil.. dem MITM! Nur:

Because traffic to notepad-plus-plus.org is fairly rare, it may be possible to sit inside the ISP chain and redirect to a different download. To do this at any kind of scale requires a lot of resources.

Ja der updater war scheiße und konnte einfach manipuliert werden. Das haben alle verstanden. Der viel spannendere Teil ist das man für den MITM eben bereits im Netz vom Opfer, dem Netz von NP++ oder dem ISP sitzen muss. Zumindest für letzteres kommt in der Regel nur ein Stateactor in frage und für die vorherigen hast du schon ein viel größeres Problem weil der Angreifer bereits bei dir im Netz ist. In der Realität war also kaum jemand in Gefahr außer die gezielt attackierten Nutzer. Man wird zum vorgehen des MITMs wohl nix erfahren weil kein ISP was dazu sagen will...