-
09/04/2020
-
122
-
1.411 bài viết
Notepad++ vá lỗ hổng nghiêm trọng cho phép cài cập nhật giả mạo
Phần mềm soạn thảo mã nguồn mã nguồn mở Notepad++ vừa phát hành bản vá 8.8.9 cho một lỗ hổng nghiêm trọng trong công cụ cập nhật WinGUp (GUP.exe). Sự cố này từng khiến một số người dùng nhận phải gói cập nhật bị giả mạo, mở đường cho hành vi thu thập dữ liệu và truy cập trái phép vào hệ thống. Với lượng người dùng Notepad++ khá phổ biến tại Việt Nam, có lẽ bạn cần lưu ý hơn đến thông tin này.
Lỗ hổng được phát hiện sau khi một thành viên trên diễn đàn Notepad++ báo cáo công cụ cập nhật GUP.exe đã tự ý tải và chạy một tập tin lạ mang tên “%Temp%\AutoUpdater.exe”. Tập tin này thực thi nhiều lệnh gián điệp, thu thập thông tin thiết bị và lưu vào một tệp “a.txt”. Sau đó, phần mềm độc hại dùng lệnh curl để gửi dữ liệu này lên trang temp[.]sh vốn từng bị lợi dụng trong các chiến dịch tấn công mạng.
Lỗ hổng được phát hiện sau khi một thành viên trên diễn đàn Notepad++ báo cáo công cụ cập nhật GUP.exe đã tự ý tải và chạy một tập tin lạ mang tên “%Temp%\AutoUpdater.exe”. Tập tin này thực thi nhiều lệnh gián điệp, thu thập thông tin thiết bị và lưu vào một tệp “a.txt”. Sau đó, phần mềm độc hại dùng lệnh curl để gửi dữ liệu này lên trang temp[.]sh vốn từng bị lợi dụng trong các chiến dịch tấn công mạng.
Vì WinGUp sử dụng thư viện libcurl chứ không chạy file curl.exe thật, giới an ninh mạng suy đoán người dùng có thể đã cài phải phiên bản Notepad++ không chính thống hoặc lưu lượng cập nhật đã bị can thiệp trong quá trình truyền tải. Để giảm rủi ro bị chiếm quyền kết nối, nhà phát triển Don Ho đã phát hành bản vá 8.8.8 vào ngày 18/11, chuyển toàn bộ nguồn tải về GitHub nhằm đảm bảo tính tin cậy.
Tuy nhiên, bản vá mạnh hơn được đưa ra trong phiên bản 8.8.9, phát hành ngày 9/12. Từ phiên bản này, Notepad++ và công cụ cập nhật WinGUp sẽ kiểm tra chữ ký số của bộ cài đặt trước khi thực hiện cập nhật, mọi gói không có chữ ký hợp lệ đều bị từ chối. Đây được xem là lớp bảo vệ quan trọng nhằm ngăn kẻ tấn công chèn bản cập nhật đã bị chỉnh sửa.
Việc tăng cường bảo mật diễn ra trong bối cảnh chuyên gia an ninh mạng Kevin Beaumont cho biết ông vừa nhận thông tin từ 3 tổ chức ở khu vực Đông Á xuất hiện sự cố liên quan tới Notepad++. Những hệ thống bị ảnh hưởng đều xuất hiện tiến trình lạ bắt nguồn từ phần mềm này, kèm theo hoạt động gián điệp thủ công.
Beaumont nhận định cơ chế cập nhật có thể đã bị can thiệp bằng cách chỉnh sửa phản hồi XML chứa đường dẫn tải về, qua đó chuyển người dùng tới bộ cài độc hại. Ông cũng cảnh báo các phiên bản Notepad++ giả mạo phát tán qua quảng cáo độc hại vẫn là một nguồn rủi ro song song.
Nhóm phát triển Notepad++ cho biết vẫn chưa xác định được phương thức tấn công cụ thể và cuộc điều tra đang tiếp tục. Trong thời gian chờ kết luận, người dùng cần nâng cấp ngay lên phiên bản 8.8.9. Từ bản 8.8.7 trở đi, mọi bộ cài chính thức đều đã được ký chứng chỉ hợp lệ, vì vậy những ai từng cài chứng chỉ gốc tùy chỉnh nên gỡ bỏ để tránh rủi ro.
Việc Notepad++ được sử dụng phổ biến, đặc biệt trong cộng đồng lập trình Việt Nam khiến lỗ hổng cập nhật lần này nhắc bạn hãy luôn tải từ nguồn chính thức, cập nhật kịp thời và cảnh giác với các phiên bản không rõ nguồn gốc để tránh trở thành mục tiêu của những chiến dịch tấn công tinh vi.
Tuy nhiên, bản vá mạnh hơn được đưa ra trong phiên bản 8.8.9, phát hành ngày 9/12. Từ phiên bản này, Notepad++ và công cụ cập nhật WinGUp sẽ kiểm tra chữ ký số của bộ cài đặt trước khi thực hiện cập nhật, mọi gói không có chữ ký hợp lệ đều bị từ chối. Đây được xem là lớp bảo vệ quan trọng nhằm ngăn kẻ tấn công chèn bản cập nhật đã bị chỉnh sửa.
Việc tăng cường bảo mật diễn ra trong bối cảnh chuyên gia an ninh mạng Kevin Beaumont cho biết ông vừa nhận thông tin từ 3 tổ chức ở khu vực Đông Á xuất hiện sự cố liên quan tới Notepad++. Những hệ thống bị ảnh hưởng đều xuất hiện tiến trình lạ bắt nguồn từ phần mềm này, kèm theo hoạt động gián điệp thủ công.
Beaumont nhận định cơ chế cập nhật có thể đã bị can thiệp bằng cách chỉnh sửa phản hồi XML chứa đường dẫn tải về, qua đó chuyển người dùng tới bộ cài độc hại. Ông cũng cảnh báo các phiên bản Notepad++ giả mạo phát tán qua quảng cáo độc hại vẫn là một nguồn rủi ro song song.
Nhóm phát triển Notepad++ cho biết vẫn chưa xác định được phương thức tấn công cụ thể và cuộc điều tra đang tiếp tục. Trong thời gian chờ kết luận, người dùng cần nâng cấp ngay lên phiên bản 8.8.9. Từ bản 8.8.7 trở đi, mọi bộ cài chính thức đều đã được ký chứng chỉ hợp lệ, vì vậy những ai từng cài chứng chỉ gốc tùy chỉnh nên gỡ bỏ để tránh rủi ro.
Việc Notepad++ được sử dụng phổ biến, đặc biệt trong cộng đồng lập trình Việt Nam khiến lỗ hổng cập nhật lần này nhắc bạn hãy luôn tải từ nguồn chính thức, cập nhật kịp thời và cảnh giác với các phiên bản không rõ nguồn gốc để tránh trở thành mục tiêu của những chiến dịch tấn công tinh vi.
Theo Bleeping Computer
Chỉnh sửa lần cuối: