A CCleaner kompromittált: ellenőrizze jobban a számítógépét
- Kategória: Biztonság
A Piriform, a népszerű CCleaner fájltisztító készítői 2017. január 18-án, hétfőn megerősítették, hogy a hackereknek sikerült megtámadniuk a vállalat számítógépes hálózatát.
A hackerek a támadás során a CCleaner két verzióját veszélyeztették, amelyeket a vállalat felhasználói bázisának akár 3% -a használt.
Az érintett verziók a CCleaner 5.33.6162 és a CCleaner Cloud 1.07.3191. Piriform szerint csak az alkalmazások 32 bites verzióit veszélyeztette és terjesztette a vállalat saját infrastruktúrája.
A vállalat arra kéri a felhasználókat, hogy frissítsék a program verzióját a legfrissebb elérhető verzióra, ha ez még nem történt meg. A CCleaner legfrissebb verziója az írás idején az 5.34-es verzió.
- A CCleaner 5.33.6162 2017. augusztus 15-én jelent meg, a frissített, nem veszélyeztetett változat pedig 2017. szeptember 12-én jelent meg.
- A CCleaner Cloud 1.07.3191 2017. augusztus 24-én jelent meg, a program nem veszélyeztetett változata pedig 2017. szeptember 15-én.
A Cisco Talos Csoport biztonsági kutatói kiderült részletek a sikeres ellátási lánc támadásról. A Talos Group tájékoztatta az Avast-ot, a Piriform anyavállalatát a helyzetről.
A Talos Group „azonosított egy konkrét végrehajtható fájlt” a vállalat új, kizsákmányolás észlelésére szolgáló eszköz tesztelése során, amelyet a CCleaner 5.33 telepítője kapott, amelyet viszont a legális CCleaner letöltő szerverek szállítottak.
A letölthető futtatható programot érvényes Piriform aláírással írták alá. A telepítő tartalmazott egy „rosszindulatú hasznos terhelést, amely egy domain-generációs algoritmust”, valamint a „merev kódú parancs és vezérlés” funkciókat tartalmazta.
A Talos kutatói arra a következtetésre jutottak, hogy a rosszindulatú hasznos teher eloszlására került sor az 5.33 verzió 2017. augusztus 15-i kiadása és az 5.34 verzió 2017. szeptember 12-i kiadása között.
A kutatók szerint valószínű, hogy „egy külső támadó egy részét veszélyeztette” Piriform fejlesztési vagy építési környezetében, és a hozzáférést a rosszindulatú programok beillesztésére használta a CCleaner épületbe. A kutatók szerint egy másik lehetőség az, hogy egy bennfentes beépítette a rosszindulatú kódot.
A CCleaner felhasználók, akik meg akarják győződni arról, hogy a sérült verzió még mindig nincs a rendszerükön, érdemes lehet beolvasni azt VirusTotal , vagy szkennelje be a ClamAV segítségével, mivel ez az egyetlen víruskereső szoftver, amely jelenleg észleli a fenyegetést.
Töltse le az ingyenes ClamAV erről a webhelyről.
A rosszindulatú hasznos teher létrehozza a HKLM SOFTWARE Piriform Agomo beállításjegyzék-kulcsot, és különféle információk tárolására használta.
körte alakú kiadott egy nyilatkozat 2017. szeptember 18-án. Ezen nyilatkozat szerint a nem érzékeny adatokat továbbíthatták az Amerikai Egyesült Államok szerverére.
A kompromisszum nem érzékeny adatok (számítógépnév, IP-cím, telepített szoftverek listája, aktív szoftverek listája, hálózati adapterek listája) továbbítását eredményezheti egy harmadik fél számítógépes szerverén az Egyesült Államokban. Nincs arra utaló jel, hogy bármilyen más adatot elküldtek volna a szerverre.
Paul Yung, a cég alelnöke a termékekért, közzétett a vállalati blog elleni támadás műszaki értékelése is.
A Piriform egyetlen javaslata az, hogy frissítse a legújabb verzióra.
Záró szavak
A CCleaner és a CCleaner Cloud veszélyeztetett verzióit közel egy hónapig terjesztették. Havonta több mint 20 millió letöltéssel és frissítésekkel jár, ezért nagyszámú számítógépet érint ez.