Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Cập nhật phần mềm hay tự rước mã độc? Sự cố nghiêm trọng của Notepad++

Một lỗ hổng trong cơ chế cập nhật đã mở đường cho kẻ tấn công phân phối file độc hại tới người dùng gây ra những tổn thất to lớn với hệ thống ATTT.

Updated
7 min read
Cập nhật phần mềm hay tự rước mã độc? Sự cố nghiêm trọng của Notepad++
L
Lưu Tuấn Anh

Tổng quan

Mặc dù tháng 09 vừa qua Notepad++ đã phát hành bản vá bảo mật cho lỗ hổng nghiêm trọng CVE‑2025‑56383, nhưng đến tháng 12 Notepad++ tiếp tục phải tung bản vá khẩn cấp 8.8.9 cho một lỗ hổng nghiêm trọng trong công cụ cập nhật WinGUp (GUP.exe).

Thông tin chi tiết về lỗ hổng trước đó các bạn có thể đọc tại bài viết: “Lỗ Hổng Trong Notepad++ Biến Ứng Dụng Vô Hại Thành Công Cụ Hacker

Lỗ hổng lần này nằm trong thành phần cập nhật tự động (WinGUp) cho phép kẻ tấn công đẩy file cập nhật độc hại tới máy người dùng, mở ra khả năng thực thi mã trái phép mà không cần tương tác đáng kể. Điều đáng lo ngại là quá trình này lợi dụng chính niềm tin mặc định của người dùng vào các bản cập nhật phần mềm, khiến việc phát hiện và phòng ngừa trở nên khó khăn hơn nhiều so với các hình thức tấn công truyền thống.

Vụ việc không chỉ đặt ra câu hỏi về mức độ an toàn của Notepad++ trong giai đoạn bị ảnh hưởng, mà còn phản ánh một vấn đề rộng hơn trong an ninh chuỗi cung ứng phần mềm – nơi chỉ một mắt xích yếu cũng đủ để làm lộ diện toàn bộ hệ thống phía sau. Trong bối cảnh các cuộc tấn công thông qua cơ chế update ngày càng gia tăng, sự cố này trở thành một ví dụ điển hình cho rủi ro âm thầm nhưng có tác động sâu rộng.

Tác động chính

  • Nguy cơ thực thi mã độc từ nguồn “đáng tin cậy”.

  • Mở rộng bề mặt tấn công chuỗi cung ứng.

  • Thu thập thông tin và chuẩn bị cho xâm nhập sâu.

  • Ảnh hưởng trực tiếp tới môi trường doanh nghiệp và SOC.

  • Suy giảm niềm tin vào cơ chế cập nhật tự động.

Điều kiện khai thác

Để lỗ hổng trong cơ chế cập nhật của Notepad++ (WinGUp) bị khai thác thành công, kẻ tấn công cần hội tụ một số điều kiện kỹ thuật và môi trường cụ thể. Những điều kiện này không quá phức tạp, nhưng lại thực tế và khả thi trong nhiều kịch bản mạng hiện nay. Trong đó chủ yếu cần các yếu tố:

  • Người dùng sử dụng phiên bản Notepad++ chưa được vá.

  • Kẻ tấn công có khả năng can thiệp vào luồng mạng.

Phân tích kỹ thuật

Đầu tiên ta cần hiểu đôi nét về cơ chế cập nhật của Notepad++. Trong Notepad++ có một thành phần đó là WinGUp (GUP.exe), đây được coi là thành phần phụ trách việc kiểm tra và tải bản cập nhật mới cho Notepad++. Thông thường:

  • WinGUp kết nối tới máy chủ cập nhật (getDownloadUrl.php) để lấy thông tin phiên bản mới.

  • Máy chủ trả về đường dẫn file cập nhật dưới dạng XML.

  • WinGUp tải và cài đặt file đó - không kiểm tra chữ ký trước đây.

Bây giờ chúng ta sẽ đến chi tiết cách mà một kẻ tấn công thực hiện khai thác qua phần mềm Notepad++ này. Đối với mọi chiến dịch được ghi nhận thì đầu tiên những kẻ tấn công sẽ cần thực hiện giai đoạn trinh sát và lựa chọn mục tiêu cụ thể. Tại đây kẻ tấn công sẽ xác định:

  • Người dùng hoặc tổ chức đang sử dụng Notepad++ phiên bản chưa vá (< 8.8.9)

  • Môi trường mạng cho phép can thiệp hoặc thao túng lưu lượng cập nhật

Bên cạnh đó với giai đoạn trinh sát kẻ tấn công có thể thấy được:

  • Quan sát DNS, HTTP(S) traffic liên quan tới updater.

  • Xác định máy chủ, đường dẫn và định dạng file cập nhật.

Sau khi đã thực hiện trinh sát thành công, kẻ tấn công sẽ chuyển qua giai đoạn 2. Tại đây chúng sẽ sử dụng 3 kỹ thuật tấn công chính bao gồm:

  • Man-in-the-Middle (MITM) trên Wi-Fi / proxy / gateway.

  • DNS hijacking / poisoning để trỏ domain cập nhật sang máy chủ giả.

  • Traffic hijacking ở cấp ISP hoặc hạ tầng trung gian.

Mục tiêu chính của giai đoạn 2 này là chỉnh sửa phản hồi từ máy chủ cập nhật, đặc biệt là URL trỏ tới file update. Như đã đề cập bên trên thì các file Update đóng vai trò như điểm trung gian để tải mã độc.

Chuyển sang giai đoạn tiếp theo, kẻ tấn công sẽ phân phối file cập nhật giả mạo (Malicious Update Injection). Attacker chuẩn bị một file thực thi giả mạo “autoupdater.exe“. File này sẽ được đặt tại Server C2 của những kẻ tấn công. Như đã nói trước đó thì WinGUp (GUP.exe) sẽ thực hiện phản hồi XML/metadata khi Update Notepad++, chính vì thế mà attacker sẽ thực hiện:

  • Thay đổi URL cập nhật sang file độc hại.

  • Giữ nguyên thông tin phiên bản để tránh gây nghi ngờ.

Một khi người dùng chạy Update tự động thì WinGUp sẽ tải file về thư mục tạm (%Temp%) và từ đây mã độc sẽ được chạy.

Sau khi đã nằm trong hệ thống mã độc sẽ bắt đầu quá trình thu thập thông tin từ người dùng cũng như thu thập thông tin hệ thống:

  • Người dùng hiện tại.

  • Tiến trình đang chạy.

  • Cấu hình mạng.

Toàn bộ dữ liệu này đều được Exfiltration và được gửi ra ngoài thông qua HTTPs với các công cụ dòng lệnh hợp pháp như “curl“. Cuối cùng những kẻ tấn công sẽ thực hiện mở rộng xâm nhập. Ví dụ đối với môi trường doanh nghiệp, với thông tin đã lấy được trước đó chúng sẽ thực hiện:

  • Di chuyển ngang trong mạng nội bộ.

  • Truy cập tài nguyên quan trọng.

  • Triển khai tấn công ở quy mô lớn hơn.

Khuyến nghị

  1. Cập nhật phần mềm kịp thời

    • Luôn sử dụng phiên bản Notepad++ mới nhất (từ 8.8.9 trở lên) để đảm bảo lỗ hổng đã được vá.

    • Chỉ tải phần mềm và bản cập nhật từ nguồn chính thức (website Notepad++ hoặc GitHub).

    • Tránh cài đặt các bản chỉnh sửa, portable hoặc repack không rõ nguồn gốc.

  2. Không vô hiệu hóa các cơ chế bảo mật

    • Không tắt antivirus, Windows Defender hoặc các cảnh báo bảo mật khi cài đặt/cập nhật phần mềm.

    • Tránh sử dụng phần mềm với quyền Administrator khi không thực sự cần thiết.

  3. Cẩn trọng với môi trường mạng

    • Hạn chế cập nhật phần mềm khi sử dụng Wi-Fi công cộng hoặc mạng không tin cậy.

    • Ưu tiên sử dụng mạng nội bộ hoặc kết nối Internet có kiểm soát.

    • Tránh sử dụng VPN/proxy không rõ nguồn gốc trong quá trình cập nhật.

  4. Theo dõi dấu hiệu bất thường

    • Chú ý nếu sau khi cập nhật xuất hiện:

      • Cửa sổ dòng lệnh bất thường

      • File lạ trong thư mục %Temp%

      • Máy chậm, có kết nối mạng bất thường

    • Khi nghi ngờ, hãy ngắt kết nối Internet và quét toàn bộ hệ thống.

  5. Chủ động cập nhật thông tin bảo mật

    • Theo dõi thông báo từ nhà phát triển và các trang tin an ninh mạng uy tín.

    • Không bỏ qua các cảnh báo bảo mật, kể cả với phần mềm quen thuộc.

Kết luận

Sự cố bảo mật trong cơ chế cập nhật của Notepad++ là một lời nhắc nhở rõ ràng rằng ngay cả những phần mềm quen thuộc và được tin tưởng nhất cũng có thể trở thành điểm xâm nhập nếu quy trình bảo mật không được thiết kế đầy đủ. Khi kênh cập nhật vốn được xem là an toàn tuyệt đối nhưng lại bị lợi dụng, ranh giới giữa hoạt động hợp pháp và tấn công trở nên mờ nhạt hơn bao giờ hết.

Dù Notepad++ đã phản ứng nhanh chóng bằng việc vá lỗ hổng và bổ sung xác thực chữ ký số, vụ việc vẫn để lại bài học quan trọng về an ninh chuỗi cung ứng phần mềm. Một lỗ hổng nhỏ trong khâu phân phối có thể mở ra chuỗi tấn công lớn, âm thầm nhưng có sức ảnh hưởng sâu rộng, đặc biệt trong môi trường doanh nghiệp nơi phần mềm này được sử dụng phổ biến.

Về phía người dùng, việc cập nhật kịp thời, sử dụng nguồn chính thức và duy trì thói quen bảo mật cơ bản là tuyến phòng thủ đầu tiên. Với các tổ chức, sự cố này nhấn mạnh tầm quan trọng của giám sát updater, kiểm soát lưu lượng mạng và áp dụng tư duy “zero trust” ngay cả với các tiến trình hợp pháp.

Tham khảo

  1. Notepad++ fixes flaw that let attackers push malicious update files

  2. Notepad++ v8.8.9 release: Vulnerability-fix | Notepad++

#notepad#update#mitm-attacks#dns-hijacking#traffic-hijacking

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.