Der beliebte Texteditor Notepad++ reagiert auf Berichte von Sicherheitsexperten, die eine Reihe von Übernahmeversuchen im Datenverkehr des integrierten Updaters WinGUp beobachtet hatten. Laut Analyse wurde der Download-Prozess vereinzelt auf bösartige Server umgeleitet. Dadurch konnten kompromittierte Executables anstelle regulärer Updates auf die Systeme der Nutzer gelangen. Die Untersuchung legt nahe, dass Angreifer eine Schwäche in der bisherigen Integritäts- und Authentizitätsprüfung des Updaters ausnutzten.

Um diese Angriffsfläche zu schließen, hat das Projekt ein erweitertes Sicherheitsverfahren eingeführt. Ab der neuesten Version validieren Notepad++ und WinGUp sowohl die digitale Signatur als auch das zugehörige Zertifikat jedes heruntergeladenen Installers. Schlägt dieser Abgleich fehl, bricht der Updater den gesamten Vorgang ab, sodass manipulierte Dateien nicht mehr unbemerkt ausgeführt werden können. Die Entwickler betonen, dass der Vorfall weiterhin untersucht werde und man Nutzer informieren werde, sobald Klarheit über die tatsächliche Hijacking-Methode besteht.

Update-Anfragen ließen sich umleiten

Die Analyse des Sicherheitsforschers Kevin Beaumont zeigt, wie ein Angreifer den Update-Mechanismus missbrauchen kann: WinGUp lädt ein XML-Dokument vom Notepad++-Server, das die URL für den Update-Download enthält. Wird dieser Abruf abgefangen und manipuliert, lässt sich der Download unbemerkt auf beliebige Dateien umleiten – insbesondere, wenn ältere Notepad++-Versionen nur unzureichende Signaturprüfungen nutzen oder TLS-Interception möglich ist. Beaumont rät Unternehmen daher, ihre Installationen zu überprüfen, verdächtige Netzwerkaufrufe von "gup.exe" zu untersuchen und ungewöhnliche Prozessketten genau zu beobachten. Zudem sollten nur offizielle Installationspakete genutzt und Updates im Zweifel manuell eingespielt werden.

Zertifizierte Binaries

Parallel dazu führt Notepad++ eine wichtige Änderung im Umgang mit Zertifikaten ein: Seit Version 8.8.7 sind alle Binaries – inklusive des Installers – mit einem gültigen GlobalSign-Zertifikat signiert. Die bisher notwendige Installation eines projektspezifischen Root-Zertifikats entfällt damit. Nutzer, die dieses Root-Zertifikat noch installiert haben, sollen es nach Empfehlung der Entwickler wieder entfernen.

Das Update bringt neben der sicherheitsrelevanten Korrektur auch weitere Fehlerbehebungen und kleinere Funktionsverbesserungen mit. Ziel ist es, sowohl die Update-Infrastruktur zu stärken als auch den laufenden Betrieb der Anwendung zuverlässiger zu machen, während die Ursachenanalyse im Hintergrund weiterläuft.