Notepad++ 8.8.9 corrige grave fallo en su actualizador

La versión 8.8.9 de Notepad++ se lanzó como respuesta urgente a una grave vulnerabilidad detectada en su herramienta de actualización WinGUp, después de que tanto investigadores de ciberseguridad como usuarios reportaran incidentes donde el actualizador descargaba y ejecutaba archivos maliciosos en lugar de paquetes legítimos. El problema, que generó preocupación entre administradores y expertos, evidenció un riesgo real de secuestro del tráfico de actualización y la posible instalación de malware a través de un software ampliamente usado en todo el mundo.

Los primeros indicios se hicieron públicos en un foro de la comunidad de Notepad++, donde un usuario denunció que GUP.exe —el ejecutable interno detrás de WinGUp— había generado un archivo sospechoso en %Temp%\AutoUpdater.exe. Este ejecutable anómalo ejecutó varias órdenes de reconocimiento del sistema, almacenando toda la información recopilada en un archivo denominado a.txt.

Entre los comandos utilizados se encontraban:

cmd /c netstat -ano >> a.txt
cmd /c systeminfo >> a.txt
cmd /c tasklist >> a.txt
cmd /c whoami >> a.txt


Tras recopilar los datos, el falso autoupdater.exe exfiltró el archivo a.txt utilizando curl.exe hacia el dominio temporal[.]sh, un conocido servicio de alojamiento utilizado anteriormente en diversas campañas de malware.

Primeras hipótesis: versiones falsas o tráfico secuestrado

Este comportamiento levantó sospechas entre otros miembros de la comunidad, quienes indicaron que:

• WinGUp usa la librería libcurl, no el comando curl.exe.
• Notepad++ oficial no recoge información del sistema de esa forma.

Ante esto, surgieron dos teorías:

• El usuario instaló una versión falsificada o comprometida de Notepad++.
• El tráfico de actualización automática fue secuestrado, redirigiendo las solicitudes hacia ejecutables maliciosos.

La segunda posibilidad es especialmente preocupante, ya que implica que actores de amenazas podrían modificar el tráfico de actualización en tránsito para distribuir malware directamente desde la infraestructura de actualización del software.

Primeras medidas: versión 8.8.8 asegura las descargas desde GitHub

Para mitigar este riesgo, el desarrollador de Notepad++, Don Ho, lanzó la versión 8.8.8 el 18 de noviembre. Esta actualización cambió el mecanismo para que solo se descarguen actualizaciones desde GitHub, reduciendo la superficie de ataque asociada a la manipulación de endpoints.

Sin embargo, se necesitaba una solución más robusta.

La solución definitiva: Notepad++ 8.8.9 verifica la firma digital de todos los instaladores

El 9 de diciembre se lanzó Notepad++ 8.8.9, introduciendo una medida decisiva: ninguna actualización será instalada si no está firmada con el certificado del desarrollador. Esto evita que ejecutables maliciosos suplanten a actualizaciones legítimas, incluso si el tráfico fuera interceptado o manipulado.

CitarEl aviso de seguridad oficial explica:

"A partir de esta versión, Notepad++ y WinGUp han sido reforzados para verificar la firma y el certificado de los instaladores descargados. Si la verificación falla, la actualización será abortada."

Este cambio representa un paso esencial hacia una cadena de actualización más segura, especialmente en un contexto donde el secuestro de tráfico y la manipulación de instaladores se han convertido en técnicas comunes de ataque.

Advertencias de incidentes reales: organizaciones comprometidas

A comienzos de diciembre, el reconocido experto en seguridad Kevin Beaumont advirtió que al menos tres organizaciones habían sufrido incidentes de seguridad vinculados directamente a Notepad++.

Según su análisis, los procesos asociados al editor parecían haber sido el vector inicial de acceso, lo que dejó a los atacantes con presencia activa dentro de los sistemas. Beaumont también señaló que todas las organizaciones afectadas operaban en Asia Oriental, y que los incidentes incluían evidencias de reconocimiento manual, lo que sugiere ataques altamente dirigidos.

Una cadena de actualización susceptible al secuestro

Notepad++ utiliza un mecanismo sencillo de consulta mediante la URL:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login<versión>


El servicio devuelve un XML como este:

<GUP>
<script/>
<NeedToBeUpdated>yes</NeedToBeUpdated>
<Version>8.8.8</Version>
<Location>You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login</Location>
</GUP>


Beaumont advirtió que, si un atacante puede interceptar este tráfico y modificar la etiqueta <Location>, podría redirigir la actualización a cualquier ejecutable malicioso.

Aunque esto requeriría recursos avanzados, podría lograrse en escenarios como:

• Compromiso del ISP
• Manipulación de infraestructura de red
• Ataques MITM en entornos corporativos

Aun así, el experto también destacó que una técnica frecuente es el malvertising, donde usuarios descargan versiones falsas del software pensando que son legítimas.

Investigación en curso

CitarEl aviso oficial de Notepad++ reconoce que aún no se ha determinado el método exacto por el que se produjo el secuestro de tráfico:

"La investigación sigue en curso y los usuarios serán informados una vez que se confirme la causa."

Lo que sí está claro es que todos los usuarios deben actualizar a la versión 8.8.9, especialmente aquellos que hayan instalado certificados raíz personalizados o versiones antiguas.

En fin...

El incidente con WinGUp evidencia la importancia de proteger la cadena de actualización de cualquier software, incluso herramientas tan populares como Notepad++. Con la versión 8.8.9, el editor da un paso firme hacia un modelo más seguro basado en verificación de firmas digitales, mitigando riesgos de suplantación y secuestro de tráfico.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login