A CCleaner kompromittált: ellenőrizze jobban a számítógépét

A Piriform, a népszerű CCleaner fájltisztító készítői 2017. január 18-án, hétfőn megerősítették, hogy a hackereknek sikerült megtámadniuk a vállalat számítógépes hálózatát.

A hackerek a támadás során a CCleaner két verzióját veszélyeztették, amelyeket a vállalat felhasználói bázisának akár 3% -a használt.



Az érintett verziók a CCleaner 5.33.6162 és a CCleaner Cloud 1.07.3191. Piriform szerint csak az alkalmazások 32 bites verzióit veszélyeztette és terjesztette a vállalat saját infrastruktúrája.

ccleaner-safe

A vállalat arra kéri a felhasználókat, hogy frissítsék a program verzióját a legfrissebb elérhető verzióra, ha ez még nem történt meg. A CCleaner legfrissebb verziója az írás idején az 5.34-es verzió.



  • A CCleaner 5.33.6162 2017. augusztus 15-én jelent meg, a frissített, nem veszélyeztetett változat pedig 2017. szeptember 12-én jelent meg.
  • A CCleaner Cloud 1.07.3191 2017. augusztus 24-én jelent meg, a program nem veszélyeztetett változata pedig 2017. szeptember 15-én.

A Cisco Talos Csoport biztonsági kutatói kiderült részletek a sikeres ellátási lánc támadásról. A Talos Group tájékoztatta az Avast-ot, a Piriform anyavállalatát a helyzetről.

A Talos Group „azonosított egy konkrét végrehajtható fájlt” a vállalat új, kizsákmányolás észlelésére szolgáló eszköz tesztelése során, amelyet a CCleaner 5.33 telepítője kapott, amelyet viszont a legális CCleaner letöltő szerverek szállítottak.

A letölthető futtatható programot érvényes Piriform aláírással írták alá. A telepítő tartalmazott egy „rosszindulatú hasznos terhelést, amely egy domain-generációs algoritmust”, valamint a „merev kódú parancs és vezérlés” funkciókat tartalmazta.

A Talos kutatói arra a következtetésre jutottak, hogy a rosszindulatú hasznos teher eloszlására került sor az 5.33 verzió 2017. augusztus 15-i kiadása és az 5.34 verzió 2017. szeptember 12-i kiadása között.

A kutatók szerint valószínű, hogy „egy külső támadó egy részét veszélyeztette” Piriform fejlesztési vagy építési környezetében, és a hozzáférést a rosszindulatú programok beillesztésére használta a CCleaner épületbe. A kutatók szerint egy másik lehetőség az, hogy egy bennfentes beépítette a rosszindulatú kódot.

A CCleaner felhasználók, akik meg akarják győződni arról, hogy a sérült verzió még mindig nincs a rendszerükön, érdemes lehet beolvasni azt VirusTotal, vagy szkennelje be a ClamAV segítségével, mivel ez az egyetlen víruskereső szoftver, amely jelenleg észleli a fenyegetést.

Töltse le az ingyenes ClamAV erről a webhelyről.

A rosszindulatú hasznos teher létrehozza a HKLM SOFTWARE Piriform Agomo beállításjegyzék-kulcsot, és különféle információk tárolására használta.

körte alakú kiadott egy nyilatkozat 2017. szeptember 18-án. Ezen nyilatkozat szerint a nem érzékeny adatokat továbbíthatták az Amerikai Egyesült Államok szerverére.

A kompromisszum nem érzékeny adatok (számítógépnév, IP-cím, telepített szoftverek listája, aktív szoftverek listája, hálózati adapterek listája) továbbítását eredményezheti egy harmadik fél számítógépes szerverén az Egyesült Államokban. Nincs arra utaló jel, hogy bármilyen más adatot elküldtek volna a szerverre.

Paul Yung, a cég alelnöke a termékekért, közzétett a vállalati blog elleni támadás műszaki értékelése is.

A Piriform egyetlen javaslata az, hogy frissítse a legújabb verzióra.

Záró szavak

A CCleaner és a CCleaner Cloud veszélyeztetett verzióit közel egy hónapig terjesztették. Havonta több mint 20 millió letöltéssel és frissítésekkel jár, ezért nagyszámú számítógépet érint ez.