Utenti di Notepad++: Potrebbero avervi compromesso la Cina

La società di sviluppo del noto editor di testo Notepad++, un programma gratuito di uso universale su Windows, ha rivelato un grave incidente di sicurezza che ha compromesso la sua infrastruttura di aggiornamento per sei mesi. L'attacco, attribuito a gruppi sospetti legati al governo cinese, ha permesso agli hacker di intercettare e deviare il traffico di aggiornamento destinato al sito ufficiale notepad-plus-plus.org, distribuendo versioni alterate dell'applicazione a determinati utenti. I responsabili, identificati da diversi esperti di sicurezza, hanno utilizzato questa vulnerabilità per installare un payload inedito chiamato Chrysalis, descritto come un backdoor altamente sofisticato. La società ha riferito che l'accesso non è stato recuperato fino a dicembre, anche se i credenziali degli attaccanti sono rimasti attivi fino al 2 dicembre. L'incidente ha messo in luce una serie di lacune nella gestione degli aggiornamenti, che potrebbero aver permesso agli hacker di sfruttare le debolezze di versioni precedenti del software.

L'attacco ha avuto inizio nel giugno scorso, quando i malintenzionati hanno sfruttato una compromissione a livello di infrastruttura per intercettare le richieste di aggiornamento dirette al server ufficiale. I ricercatori hanno spiegato che i criminali hanno utilizzato questa opportunità per indirizzare alcuni utenti a server malevoli, dove sono stati distribuiti aggiornamenti contaminati. La tecnica utilizzata, nota come "man-in-the-middle", ha permesso ai responsabili di modificare il flusso di dati senza che gli utenti ne fossero a conoscenza. L'infrastruttura di hosting, gestita da un provider non specificato, è stata riconquistata solo nel dicembre scorso, ma i credenziali degli attaccanti sono rimasti attivi fino al 2 dicembre, consentendo loro di continuare a deviare il traffico. L'obiettivo principale degli hacker era sfruttare le carenze nei controlli di verifica degli aggiornamenti presenti in versioni precedenti di Notepad++. Eventi logici hanno indicato che i criminali hanno tentato di ripristinare questa vulnerabilità dopo che era stata corretta, ma l'azione è fallita.

La vulnerabilità sfruttata ha permesso agli attaccanti di ottenere un controllo totale sui dispositivi colpiti, con conseguenze potenzialmente gravi per la sicurezza informatica. Secondo l'indipendente ricercatore Kevin Beaumont, tre organizzazioni con interessi in Asia orientale hanno segnalato incidenti di sicurezza legati a dispositivi con Notepad++ installato, con attori malintenzionati che hanno ottenuto il controllo diretto tramite un'interfaccia web. Beaumont ha sottolineato che le sue sospetti sono state accresciute quando la versione 8.8.8 del software, rilasciata a novembre, ha introdotto correzioni per rafforzare il sistema di aggiornamento. Questo ha ridotto il rischio di intercettazione, ma non ha eliminato completamente le debolezze. L'aggiornamento ha modificato il comportamento del Notepad++ Updater (GUP), che scarica il file di aggiornamento da un URL specificato in un file XML. Se questo traffico viene intercettato, è possibile deviare il download verso un server malevolo, un'azione che richiede risorse significative per essere eseguita su larga scala.

L'incidente ha evidenziato una serie di problemi strutturali nell'approccio alla sicurezza di Notepad++. La comunicazione tra il software e il server di aggiornamento è avvenuta principalmente tramite HTTP, un protocollo non crittografato, rendendo più facile il sfruttamento delle vulnerabilità. Anche se le versioni più recenti utilizzano HTTPS, la firma dei download non è sempre robusta, con alcune versioni precedenti che utilizzavano certificati autofirmati. Questo ha creato una situazione in cui i download non vengono verificati in modo sicuro, permettendo agli attaccanti di manipolare il contenuto. Inoltre, la scarsa visibilità del sito notepad-plus-plus.org ha reso difficile il monitoraggio del traffico, rendendo possibile l'intercettazione su livelli ISP (Internet Service Provider) con tecniche di intercettazione TLS. Beaumont ha avvertito che i motori di ricerca sono pieni di annunci che promuovono versioni trojanizzate del software, aumentando il rischio per gli utenti.

Le conseguenze dell'incidente hanno portato a una serie di raccomandazioni per gli utenti e gli amministratori di rete. I ricercatori hanno suggerito di utilizzare la versione 8.8.8 o superiore, scaricata direttamente dal sito ufficiale, e di bloccare l'accesso a notepad-plus-plus.org o al processo gup.exe per organizzazioni che gestiscono il software. Per la maggior parte degli utenti, queste misure potrebbero essere eccessive, ma per le aziende che utilizzano Notepad++ in modo esteso, è fondamentale adottare controlli rigorosi. La società ha anche riconosciuto che la mancanza di risorse finanziarie per il progetto open source ha limitato la capacità di risolvere le vulnerabilità tempestivamente. L'incidente ha quindi messo in luce la necessità di un maggiore supporto per progetti di software gratuito di alto impatto, che svolgono un ruolo cruciale nella produttività globale. La comunità tecnologica continuerà a monitorare la situazione, con l'obiettivo di prevenire futuri incidenti simili e migliorare la sicurezza di tutti i tool open source.