Recientemente, algunos especialistas en seguridad han reportado incidentes relacionados con el secuestro de tráfico que afectaron a Notepad++. La investigación reveló que el tráfico del actualizador de Notepad++, WinGUp, se redirigía a servidores maliciosos, resultando en la descarga de ejecutables comprometidos.
El análisis de estos informes identificó una vulnerabilidad en cómo el actualizador valida la integridad y autenticidad de los archivos de actualización que descarga. Si un atacante intercepta el tráfico de red entre el cliente del actualizador y la infraestructura de Notepad++, puede aprovechar esta vulnerabilidad para hacer que el actualizador descargue y ejecute un archivo binario no deseado, en lugar del archivo legítimo de actualización de Notepad++.
Para abordar esta vulnerabilidad y las preocupaciones sobre el secuestro de tráfico mencionadas por los investigadores de seguridad, se ha implementado una mejora de seguridad en la versión Notepad++ 8.8.9.
A partir de esta versión, Notepad++ y WinGUp se han fortalecido para verificar la firma y el certificado de los instaladores durante el proceso de actualización. Si la verificación no se realiza con éxito, la actualización se cancela.
Notepad++ utiliza un actualizador de software personalizado llamado GUP o WinGUP. Este envía la versión en uso a https://notepad-plus-plus.org/update/getDownloadUrl.php, que genera un archivo llamado gup.xml, conteniendo la URL de descarga de la actualización.
Dicha información se obtiene, se guarda en %TEMP% y luego se ejecuta. Si un atacante puede interceptar y modificar este tráfico, podría redirigir la descarga alterando la URL en la propiedad
Este tráfico debería garantizarse mediante HTTPS; no obstante, si se encuentra en el nivel del ISP, podría interactuar con el TLS. En versiones anteriores de Notepad++, el tráfico se manejaba exclusivamente a través de HTTP.
Las descargas están firmadas, pero en versiones más antiguas de Notepad++ se utilizaba un certificado raíz autofirmado, el cual estaba disponible en Github. Desde la versión 8.8.7, los binarios de Notepad++, incluido el instalador, se firman digitalmente con un certificado legítimo emitido por GlobalSign. Por lo tanto, ya no es necesario instalar el certificado raíz de Notepad++. Se recomienda a los usuarios que lo hayan instalado previamente que lo eliminen.
Fuente: Notepad++
Con Información de blog.segu-info.com.ar
