CCleaner kompromittiert: Überprüfen Sie besser Ihren PC
- Kategorie: Sicherheit
Piriform, Hersteller des beliebten Dateibereinigers CCleaner, bestätigte am Montag, den 18. 2017, dass es Hackern gelungen ist, das Computernetzwerk des Unternehmens erfolgreich anzugreifen.
Die Hacker haben bei dem Angriff zwei Versionen des CCleaner kompromittiert, die von bis zu 3% der Benutzer des Unternehmens verwendet wurden.
Die betroffenen Versionen sind CCleaner 5.33.6162 und CCleaner Cloud 1.07.3191. Laut Piriform wurden nur die 32-Bit-Versionen der Anwendungen kompromittiert und über die firmeneigene Infrastruktur verteilt.
Das Unternehmen fordert die Benutzer auf, ihre Version des Programms auf die neueste verfügbare Version zu aktualisieren, sofern dies noch nicht geschehen ist. Die neueste Release-Version von CCleaner ist zum Zeitpunkt des Schreibens Version 5.34.
- CCleaner 5.33.6162 wurde am 15. August 2017 veröffentlicht, und eine aktualisierte, nicht kompromittierte Version wurde am 12. September 2017 veröffentlicht.
- CCleaner Cloud 1.07.3191 wurde am 24. August 2017 und eine kompromisslose Version des Programms am 15. September 2017 veröffentlicht.
Sicherheitsforscher der Cisco Talos Group aufgedeckt Details zum erfolgreichen Supply-Chain-Angriff. Die Talos Group informierte Avast, die Muttergesellschaft von Piriform, über die Situation.
Die Talos Group hat bei Tests des neuen Exploit-Erkennungstools des Unternehmens, das vom CCleaner 5.33-Installationsprogramm stammt und von legitimen CCleaner-Download-Servern bereitgestellt wurde, eine bestimmte ausführbare Datei identifiziert.
Die ausführbare Download-Datei wurde mit einer gültigen Piriform-Signatur signiert. Das Installationsprogramm enthielt eine 'böswillige Nutzlast mit einem Domain-Generierungsalgorithmus' sowie eine 'fest codierte Befehls- und Steuerungsfunktion'.
Die Talos-Forscher kamen zu dem Schluss, dass die böswillige Nutzlast zwischen der Veröffentlichung von Version 5.33 am 15. August 2017 und der Veröffentlichung von Version 5.34 am 12. September 2017 verteilt wurde.
Die Forscher halten es für wahrscheinlich, dass ein externer Angreifer einen Teil der Entwicklungs- oder Build-Umgebung von Piriform kompromittiert und den Zugriff verwendet hat, um die Malware in den CCleaner-Build einzufügen. Eine weitere Option, die die Forscher in Betracht ziehen, ist, dass ein Insider den Schadcode aufgenommen hat.
CCleaner-Benutzer, die sicherstellen möchten, dass sich die gefährdete Version noch nicht auf ihrem System befindet, möchten sie möglicherweise scannen Virustotal oder scannen Sie es mit ClamAV, da es die einzige Antivirensoftware ist, die die Bedrohung derzeit erkennt.
Sie können das kostenlos herunterladen ClamAV von dieser Website.
Die böswillige Nutzlast erstellt den Registrierungsschlüssel HKLM SOFTWARE Piriform Agomo: und verwendet ihn zum Speichern verschiedener Informationen.
Piriform problematisch eine Erklärung am 18. September 2017. Nach dieser Erklärung wurden möglicherweise nicht sensible Daten an einen Server in den Vereinigten Staaten von Amerika übertragen.
Der Kompromiss könnte dazu führen, dass nicht sensible Daten (Computername, IP-Adresse, Liste der installierten Software, Liste der aktiven Software, Liste der Netzwerkadapter) an einen Computerserver eines Drittanbieters in den USA übertragen werden. Wir haben keine Hinweise darauf, dass andere Daten an den Server gesendet wurden.
Paul Yung, VP of Products des Unternehmens, veröffentlicht eine technische Bewertung des Angriffs auf den Unternehmensblog.
Der einzige Vorschlag, den Piriform hat, ist die Aktualisierung auf die neueste Version.
Schlussworte
Die kompromittierten Versionen von CCleaner und CCleaner Cloud wurden fast einen Monat lang verteilt. Mit über 20 Millionen Downloads pro Monat und den Updates ist dies eine hohe Anzahl von PCs, die davon betroffen sind.