Os plug-ins do Notepad++ permitem que invasores se infiltrem

Os plug-ins do Notepad++ permitem que invasores se infiltrem em sistemas e obtenham persistência.

Os atores de ameaças podem abusar dos plug-ins do Notepad++ para contornar os mecanismos de segurança e obter persistência na máquina da vítima, sugere uma nova pesquisa da empresa de segurança Cybereason .

“Usando um projeto de código aberto, Notepad ++ Plugin Pack, um pesquisador de segurança que atende pelo nome de RastaMouse conseguiu demonstrar como construir um plugin malicioso que pode ser usado como um mecanismo de persistência”, escreveu a empresa em um comunicado na quarta-feira.

O próprio pacote de plug-ins é apenas um pacote .NET para o Visual Studio que fornece um modelo básico para a construção de plug-ins. No entanto, grupos de ameaças persistentes avançadas (APT) aproveitaram os plug-ins do Notepad ++ para fins nefastos no passado.

O grupo APT StrongPity é conhecido por alavancar um instalador legítimo do Notepad ++ acompanhado de executáveis ​​maliciosos, permitindo que ele persista após uma reinicialização em uma máquina”, diz o comunicado da Cybereason.

Esse backdoor permite que esse agente de ameaças instale um keylogger na máquina e se comunique com um servidor C2 para enviar a saída desse software.

Em seu conselho, a equipe da Cybereason analisou o mecanismo de carregamento do plugin Notepad++ e elaborou um cenário de ataque com base nesse vetor.

Usando a linguagem de programação C#, os especialistas em segurança criaram uma biblioteca de links dinâmicos (DLL) executando um comando do PowerShell na primeira vez que pressionar qualquer tecla dentro do Notepad++. 

Em nosso cenário de ataque, o comando do PowerShell executará uma carga útil do Meterpreter”, escreveu a empresa.

A Cybereason então executou o Notepad++ como ‘administrador‘ e reexecutou a carga útil, gerenciando efetivamente para obter privilégios administrativos no sistema afetado.

Para mitigar essa ameaça, os especialistas em segurança disseram que as empresas devem monitorar processos filho incomuns do Notepad ++ e prestar atenção especial aos tipos de produtos shell.

Para obter mais informações sobre o cenário de ataque, o aviso original da Cybereason está disponível neste link.

De forma mais geral, os plugins são frequentemente explorados como vetores de ataque por agentes mal-intencionados. Por exemplo, na semana passada, o Wordfence relatou uma falha de dia zero em um plugin do WordPress chamado BackupBuddy com cinco milhões de instalações.

Fonte: Dark Reading

Veja também:

Sobre mindsecblog 1881 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!