Korzystasz z Notepad++? Lepiej zrób kontrolę swojego komputera

Jak informuje portal Sekurak: serwer aktualizacji Notepad++ przez pół roku był przejęty przez cyberprzestępców, którzy wykorzystywali dostęp do udostępniania zainfekowanej aktualizacji. Wciąż nie ma pełnej analizy użytego w tym przypadku konkretnego malware’u, jednak wiadomo, że atak dawał możliwość dostarczenia dowolnego pliku wykonywalnego.

Z punktu widzenia bezpieczeństwa trzeba więc zakładać najgorszy scenariusz, że mógł to być loader, backdoor lub inne oprogramowanie zapewniające atakującym zdalny dostęp do systemów firm i instytucji, w których pracują użytkownicy chętnie wykorzystywanego edytora tekstu - wskazuje ekspert Stormshield.

Co zrobić, jeśli mogłem stać się ofiarą?

Notepad++, zaawansowany, darmowy edytor tekstu i kodu źródłowego dla systemu Windows. Przestępcy, przez 6 miesięcy, w sposób niezauważony eksplorowali serwer aktualizacji dostawcy narzędzia szczególnie popularnego wśród programistów i administratorów. Podatność mogła wiązać się z ryzykiem zainfekowania niepożądanym oprogramowaniem komputerów użytkowników, którzy w dobrej wierze dokonali aktualizacji.

Ta sytuacja jest wyzwaniem dla systemów bezpieczeństwa, by w porę zadziałać i zneutralizować podejrzany, nowy ruch sieciowy pojawiający się po infekcji urządzenia skażonym oprogramowaniem. Firewall może pomóc wykryć podejrzany ruch wychodzący, jednak tylko wtedy, gdy znane są adresy IOC infrastruktury atakujących. Brak listy IOC znacząco utrudnia obronę opartą na blokowaniu adresów lub tylko zezwoleniu na ruch tylko do znanych adresów. W tym przypadku podejrzane zachowanie, to połączenie z innymi domenami niż oficjalne

Aleksander Kostuch

inżynier Stormshield

Jeśli złośliwy kod został uruchomiony, mógł zainstalować się w systemie komputera niezależnie od Notepad++. W takiej sytuacji odinstalowanie edytora nie gwarantuje usunięcia infekcji.

Malware mógł dodać własne mechanizmy uruchamiania przy starcie systemu, nowe usługi lub zaplanowane zadania. Dlatego to zdarzenie należy traktować jak pełnoprawny incydent bezpieczeństwa, a nie błąd aplikacji

Aleksander Kostuch

inżynier Stormshield

Maszynę, która mogła stać się ofiarą fałszywej aktualizacji należy potraktować jak potencjalnie przejętą, co wymaga odpowiednich działań.

Pierwszy krok to odłączenie jej od sieci, a następnie najlepiej jest przekazać taki komputer do analizy specjalistom z obszaru reagowania na incydenty. Przeprowadzą oni pełne skanowanie urządzenia narzędziem klasy EDR lub dobrym rozwiązaniem antywirusowym, a także sprawdzą procesy uruchamiane przy starcie systemu, zaplanowane zadania i nieznane usługi. Jakiekolwiek nieprawidłowości będą dla nich wyraźnym sygnałem.

Taka podstawowa kontrola w zasadzie jest wskazana w przypadku każdego użytkownika Notepad ++, który we wskazanym okresie aktualizował to oprogramowanie

Aleksander Kostuch

inżynier Stormshield

Czego uczy nas incydent - jak minimalizować skutki ataków na łańcuch dostaw?

Zaufane źródło, które okazuje się być skompromitowane – to jeden z najgorszych scenariuszy z perspektywy cyberbezpieczeństwa organizacji.

Ten incydent pokazuje jak bardzo niebezpiecznym jest scenariusz ataku na łańcuch dostaw oprogramowania. Problem nie polegał na samej funkcjonalności Notepad++, lecz na mechanizmie aktualizacji, który mógł zostać przekierowany na fałszywe serwery. W praktyce oznacza to, że użytkownik w dobrej wierze instalował coś, co wyglądało jak aktualizacja, a mógł przy tym pobrać zupełnie innym program

Aleksander Kostuch

inżynier Stormshield

Skutecznymi narzędziami pozwalającymi na minimalizację ryzyka w podobnych przypadkach byłyby rozwiązania EDR lub zaawansowane systemy ochrony antywirusowej stacji roboczych, analizujące nie tylko znane sygnatury czy domeny, lecz również wychwytujące anomalie towarzyszące procesom uruchamianym na danym komputerze. Uzupełnieniem dla nich będą rozwiązania NDR, sprawdzające standardy ruchu sieciowego, które po wychwyceniu anomalii wysyłają sygnał do SOAR (czyli centrum zarządzania bezpieczeństwem) z instrukcją dla firewall by ten automatycznie (i prewencyjnie) blokował dane adresy.

Sam korzystam z tego narzędzia, choć szczęśliwie, we wskazanym w opisie incydentu okresie, nie przeprowadziłem jego aktualizacji. Ta sytuacja jest wyjątkiem od zasady, że dbałość o aktualne oprogramowanie pozostaje jedną z podstaw bezpieczeństwa. Pokazuje również, że zagrożenie może przyjść z najmniej spodziewanego kierunku, a kontekst odpowiedzialności za podatność firmy hostingowej podkreśla znaczenie łańcucha dostaw

Aleksander Kostuch

inżynier Stormshield

W całej sprawie równie istotnym aspektem jest pochodzenie autorów ataku.

Wciąż nie są znane szczegóły dotyczące malware, którego wykorzystali przestępcy a w związku z tym nie wiemy, czego tak naprawdę szukali. Incydent jest mocny sygnałem, że wobec niestabilnej sytuacji geopolitycznej warto dywersyfikować dostawców i budować odporność organizacji w oparciu o europejskie technologie. Jednocześnie ten case pokazuje, że dla pełnego bezpieczeństwa aktualizacji konieczne są EDR, monitoring ruchu sieciowego z wykorzystaniem dobrej klasy firewalla i kontrola tego, co faktycznie uruchamia się na stacjach roboczych

Aleksander Kostuch

inżynier Stormshield

Poprawiona wersja Notepad ++ (8.9.1 lub nowsza) została udostępniona na oficjalnej stronie notepad-plus-plus.org, którą przeniesiono na inny, bezpieczniejszy serwer hostingowy.