CCleaner kompromitteret: Kontroller bedre din pc

Piriform, producenter af den populære filrenser CCleaner, bekræftede mandag den 18. 2017, at hackere formåede at angribe virksomhedens computernetværk med succes.

Hackerne kompromitterede to versioner af CCleaner i angrebet, som er blevet brugt af op til 3% af virksomhedens brugerbase.

De berørte versioner er CCleaner 5.33.6162 og CCleaner Cloud 1.07.3191. Ifølge Piriform blev kun 32-bit versionerne af applikationerne kompromitteret og distribueret ved hjælp af virksomhedens egen infrastruktur.

ccleaner-safe

Virksomheden beder brugerne om at opdatere deres version af programmet til den seneste tilgængelige udgivelse, hvis det ikke allerede er gjort. Den seneste version af CCleaner er version 5.34 i skrivende stund.

  • CCleaner 5.33.6162 blev frigivet den 15. august 2017, og en opdateret ikke-kompromitteret version blev frigivet den 12. september 2017.
  • CCleaner Cloud 1.07.3191 blev frigivet den 24. august 2017 og en ikke-kompromitteret version af programmet den 15. september 2017.

Sikkerhedsforskere fra Ciscos Talos Group afsløret detaljer om det succesrige supply chain-angreb. Talos Group informerede Avast, moderselskabet i Piriform, om situationen.

Talos Group 'identificerede en bestemt eksekverbar' under test af virksomhedens nye exploit-detekteringsværktøj, der kom fra CCleaner 5.33-installationsprogrammet, som igen blev leveret af legitime CCleaner-download-servere.

Den downloadbare eksekverbare blev underskrevet med en gyldig Piriform-signatur. Installationsprogrammet indeholdt en 'ondsindet nyttelast, der indeholdt en domænegenereringsalgoritme' såvel som 'hardkodet kommando og kontrol' -funktion.

Talos-forskerne konkluderede, at den ondsindede nyttelast blev fordelt mellem frigivelsen af ​​version 5.33 den 15. august 2017 og frigivelsen af ​​version 5.34 den 12. september 2017.

Forskerne mener, det er sandsynligt, at 'en ekstern angriber kompromitteret en del' af Piriforms udviklings- eller bygningsmiljø og brugte adgangen til at indsætte malware i CCleaner-bygningen. En anden mulighed, som forskerne overvejer, er, at en insider inkluderede den ondsindede kode.

CCleaner-brugere, der ønsker at sikre sig, at den kompromitterede version ikke stadig findes på deres system, ønsker muligvis at scanne den på VirusTotal , eller scann det med ClamAV, da det er den eneste antivirus-software, der registrerer truslen lige nu.

Du kan downloade den gratis ClamAV fra denne hjemmeside.

Den ondsindede nyttelast opretter registernøglen HKLM SOFTWARE Piriform Agomo: og brugte den til at gemme forskellige oplysninger.

Piriform udstedt en erklæring den 18. september 2017. Ifølge denne erklæring kan ikke-følsomme data være overført til en server i Amerikas Forenede Stater.

Kompromiset kan forårsage transmission af ikke-følsomme data (computernavn, IP-adresse, liste over installeret software, liste over aktiv software, liste over netværkskort) til en tredjeparts computerserver i USA. Vi har ingen indikationer på, at andre data er sendt til serveren.

Paul Yung, virksomhedens VP for produkter, offentliggjort også en teknisk vurdering af angrebet på firmabloggen.

Det eneste forslag, som Piriform har, er at opdatere til den seneste version.

Lukende ord

De kompromitterede versioner af CCleaner og CCleaner Cloud blev distribueret i næsten en måned. Med over 20 millioner downloads pr. Måned og opdateringerne, er det et stort antal pc'er, der er blevet påvirket af dette.