CCleaner gecompromitteerd: controleer uw pc beter
- Categorie: Veiligheid
Piriform, makers van de populaire bestandsreiniger CCleaner, bevestigde op maandag 18 2017 dat hackers erin geslaagd zijn het computernetwerk van het bedrijf met succes aan te vallen.
De hackers hebben tijdens de aanval twee versies van de CCleaner gecompromitteerd die door tot wel 3% van het gebruikersbestand van het bedrijf zijn gebruikt.
De betrokken versies zijn CCleaner 5.33.6162 en CCleaner Cloud 1.07.3191. Volgens Piriform werden alleen de 32-bits versies van de applicaties gecompromitteerd en verspreid via de eigen infrastructuur van het bedrijf.
Het bedrijf vraagt gebruikers om hun versie van het programma bij te werken naar de nieuwste beschikbare release als dat nog niet is gebeurd. De nieuwste releaseversie van CCleaner is op het moment van schrijven versie 5.34.
- CCleaner 5.33.6162 werd uitgebracht op 15 augustus 2017 en een bijgewerkte, niet-gecompromitteerde versie werd uitgebracht op 12 september 2017.
- CCleaner Cloud 1.07.3191 werd uitgebracht op 24 augustus 2017 en een niet-gecompromitteerde versie van het programma op 15 september 2017.
Beveiligingsonderzoekers van Cisco's Talos Group onthuld details over de succesvolle supply chain-aanval. Talos Group informeerde Avast, het moederbedrijf van Piriform, over de situatie.
Talos Group 'identificeerde een specifiek uitvoerbaar bestand' tijdens tests van de nieuwe exploit-detectietool van het bedrijf, die afkomstig was van het CCleaner 5.33-installatieprogramma dat op zijn beurt werd geleverd door legitieme CCleaner-downloadservers.
Het downloadbare bestand is ondertekend met een geldige Piriform-handtekening. Het installatieprogramma bevatte een 'kwaadaardige payload met een algoritme voor het genereren van een domein' en 'hardcoded Command and Control'-functionaliteit.
De Talos-onderzoekers concludeerden dat de kwaadaardige payload is verdeeld tussen de release van versie 5.33 op 15 augustus 2017 en de release van versie 5.34 op 12 september 2017.
De onderzoekers denken dat het waarschijnlijk is dat 'een externe aanvaller een deel van de ontwikkel- of bouwomgeving van Piriform heeft aangetast' en de toegang heeft gebruikt om de malware in de CCleaner-build te plaatsen. Een andere optie die de onderzoekers beschouwen, is dat een insider de kwaadaardige code heeft opgenomen.
CCleaner-gebruikers die er zeker van willen zijn dat de gecompromitteerde versie niet nog op hun systeem staat, willen deze misschien scannen Virustotal of scan het met ClamAV, aangezien dit de enige antivirussoftware is die de dreiging op dit moment detecteert.
U kunt het gratis downloaden ClamAV van deze website.
De kwaadaardige payload maakt de registersleutel HKLM SOFTWARE Piriform Agomo: aan en gebruikt deze om verschillende informatie op te slaan.
Piriform uitgegeven een verklaring op 18 september 2017. Volgens die verklaring zijn mogelijk niet-gevoelige gegevens verzonden naar een server in de Verenigde Staten van Amerika.
Door het compromis kunnen niet-gevoelige gegevens (computernaam, IP-adres, lijst met geïnstalleerde software, lijst met actieve software, lijst met netwerkadapters) worden verzonden naar een computerserver van derden in de VS. We hebben geen aanwijzingen dat er andere gegevens naar de server zijn gestuurd.
Paul Yung, de VP van producten van het bedrijf, gepubliceerd ook een technische beoordeling van de aanval op de bedrijfsblog.
De enige suggestie die Piriform heeft, is om te updaten naar de meest recente versie.
Afsluitende woorden
De gecompromitteerde versies van CCleaner en CCleaner Cloud werden bijna een maand gedistribueerd. Met meer dan 20 miljoen downloads per maand en de updates is dat een groot aantal pc's die hier last van hebben.