Algunos expertos en seguridad informaron recientemente sobre incidentes de secuestro de tráfico que afectaron a Notepad++. Según la investigación, el tráfico de WinGUp (el actualizador de Notepad++) se redirigía ocasionalmente a servidores maliciosos, lo que resultaba en la descarga de ejecutables comprometidos.
La revisión de los informes permitió identificar una vulnerabilidad en la forma en que el actualizador valida la integridad y autenticidad del archivo de actualización descargado. Si un atacante logra interceptar el tráfico de red entre el cliente del actualizador y la infraestructura de actualización de Notepad++, esta vulnerabilidad puede ser aprovechada para incitar al actualizador a descargar y ejecutar un archivo binario no deseado (en lugar del archivo binario de actualización legítimo de Notepad++).
Para mitigar esta vulnerabilidad y abordar las preocupaciones sobre el secuestro planteadas por los investigadores de seguridad, se introduce una nueva mejora de seguridad en la versión de Notepad++ 8.8.9.
A partir de la versión 8.8.9, Notepad++ y WinGUp se han reforzado para verificar la firma y el certificado de los instaladores descargados durante el proceso de actualización. Si la verificación falla, la actualización se cancelará.
Notepad++ utiliza un actualizador de software personalizado llamado GUP o WinGUP. GUP envía la versión en uso a https://notepad-plus-plus.org/update/getDownloadUrl.php, que a su vez genera un archivo llamado gup.xml, que contiene la URL de descarga de la actualización.
El archivo se obtiene, se guarda en %TEMP% y luego se ejecuta. Si puede interceptar y modificar este tráfico, puede redirigir la descarga a cualquier ubicación que aparezca modificando la URL en la propiedad <Location>.
Se supone que este tráfico se realiza a través de HTTPS; sin embargo, parece que podría manipularlo si se encuentra en el nivel del ISP e intercepta TLS. En versiones anteriores de Notepad++, el tráfico se realizaba únicamente a través de HTTP.
Las descargas están firmadas; sin embargo, algunas versiones anteriores de Notepad++ usaban un certificado raíz autofirmado, disponible en Github. A partir de la versión 8.8.7, los binarios de Notepad++, incluido el instalador, se firman digitalmente con un certificado legítimo emitido por GlobalSign. Por lo tanto, ya no es necesario instalar el certificado raíz de Notepad++. Recomendamos a los usuarios que ya lo hayan instalado que lo eliminen.
Fuente: Notepad++