Notepad++’in otomatik güncelleyicisinde (WinGUp) aktif olarak istismar edilen bir açık tespit edildi. Saldırganlar, güncelleme trafiğini araya girerek yönlendirip sahte yükleyiciler çalıştırabildi. Geliştirici ekip sorunu kapatan Notepad++ 8.8.9’u yayımladı. Eski sürümlerde yerleşik güncelleyiciye güvenmek yerine en güncel yükleyiciyi doğrudan resmi siteden indirmeniz öneriliyor.
WinGUp, Notepad++’ın kullandığı sürümü sunucuya gönderiyor ve sunucudan indirilecek URL’yi içeren bir XML dosyası alıyor. Saldırganlar bu adımı hedef alıp URL’yi değiştirerek kötü amaçlı EXE dosyasını %TEMP% klasöründen çalıştırabiliyor. Son olaylarda hedeflerin çoğu Doğu Asya’daki kurumlar olarak raporlandı.
Sorunu azaltmak için 18 Kasım’da gelen 8.8.8, indirmeleri yalnızca GitHub’dan yapacak şekilde zorunlu kıldı. 9 Aralık’ta yayımlanan 8.8.9 ise indirilen kurulum dosyalarının dijital imza ve sertifikasını doğrulayarak imza uyumsuzluğunda güncellemeyi anında iptal ediyor. Bu iki adım, yönlendirme/ortadaki adam saldırılarına karşı güncelleme sürecini sıkılaştırıyor.
Öte yandan Notepad++ 8.8.7 ile GlobalSign tarafından verilen geçerli bir kod imzasına geçmişti. Bu, 8.8.2 dönemindeki imzasız/öz-imzalı paket kaynaklı yanlış alarm ve güvenlik kaygılarını büyük ölçüde geride bıraktı.
Bazı kullanıcı raporlarında, sahte güncelleyicinin “AutoUpdater.exe” adlı bir dosyayı çalıştırıp sistem ve ağ bilgilerini toplayarak temp.sh servisine yüklemeye çalıştığı görülmüş. Bu davranış gerçek WinGUp’ta yok. Geliştirici ekip, kök neden araştırmasının sürdüğünü vurguluyor.
Notepad++ topluluk forumuna göre 8.8.9 için otomatik güncelleme, kritik bir sorun çıkmazsa yaklaşık bir hafta içinde açılacak. Kurumsal dağıtımlarda MSI paketine ilişkin küçük bir sürüm numarası düzeltmesi de yapıldı.
Ne yapmalı?
- Notepad++’ın 8.8.9 sürümüne geçin. Eski sürümlerde yerleşik güncelleyici yerine resmi site ya da GitHub’dan indirilen yükleyiciyi kullanın.
- 8.8.8 ve sonrası sürümlere geçtikten sonra yerleşik güncelleyiciyi tekrar güvenle kullanabilirsiniz.
- 2025 ortasında öz-imzalı sertifika yüklediyseniz, 8.8.7 ve sonrası GlobalSign imzalı paketlere geçtikten sonra bu özel kök sertifikayı kaldırmanız tavsiye ediliyor.
- Son günlerde güncelleme denemesi yaptıysanız sistemi tarayın. Şüpheli “AutoUpdater.exe”, “a.txt”, olağan dışı curl komutları, yeni zamanlanmış görevler veya gup.exe’nin beklenmedik ağ erişimleri gibi izleri kontrol edin. Gerekirse ağ günlüklerini gözden geçirin.
- Kurumsal ortamda, tüm istemciler 8.8.9’a geçene kadar gup.exe’nin dış ağ erişimini geçici olarak kısıtlamak ve Notepad++ yükleyicilerini yalnızca güvenilir kaynaklardan çekmek iyi bir ara önlem.
Özetle: Notepad++ 8.8.9, WinGUp’un indirdiği dosyaların imza/sertifika doğrulamasını zorunlu hale getirerek istismar edilen zayıf halkayı kapatıyor. Yükseltmeyi elden indirip kurmak ve eski kurulum izlerini kontrol etmek bugün için en güvenli yol.
Kaynak: www.techspot.com