CCleaner vaarantunut: tarkista paremmin tietokoneesi

Suositun CCleaner-tiedostonpuhdistimen valmistajat Piriform vahvistivat maanantaina 18.2017, että hakkerit onnistuivat hyökämään yrityksen tietokoneverkossa onnistuneesti.

Hakkerit kompromitoivat hyökkäyksessä kaksi CCleaner-versiota, joita jopa 3% yrityksen käyttäjäkunnasta on käyttänyt.

Vaikuttavat versiot ovat CCleaner 5.33.6162 ja CCleaner Cloud 1.07.3191. Piriformin mukaan vain sovellusten 32-bittiset versiot olivat vaarantuneet ja jaettu yrityksen omalla infrastruktuurilla.

ccleaner-safe

Yhtiö pyytää käyttäjiä päivittämään versionsa ohjelmasta uusimpaan saatavilla olevaan julkaisuun, jos sitä ei ole jo tehty. CCleanerin uusin versio on versio 5.34 kirjoittamishetkellä.

  • CCleaner 5.33.6162 julkaistiin 15. elokuuta 2017, ja päivitetty tinkimätön versio julkaistiin 12. syyskuuta 2017.
  • CCleaner Cloud 1.07.3191 julkaistiin 24. elokuuta 2017, ja kommentoimaton versio ohjelmasta 15. syyskuuta 2017.

Ciscon Talos-ryhmän turvallisuustutkijat paljastui yksityiskohdat onnistuneesta toimitusketjun hyökkäyksestä. Talos-konserni ilmoitti tilanteesta Piriformin emoyhtiölle Avastille.

Talos-konserni 'tunnisti tietyn suoritettavan' testien aikana yrityksen uuden hyväksikäyttöntunnistustyökalun aikana, joka tuli CCleaner 5.33 -asentajalta, joka puolestaan ​​toimitti lailliset CCleaner-latauspalvelimet.

Latausohjelma allekirjoitettiin kelvollisella Piriform-allekirjoituksella. Asennusohjelma sisälsi ”haitallisen hyötykuorman, jossa oli Domain Generation Algorithm” sekä ”hardcoded Command and Control” -toiminnot.

Talos-tutkijat päättelivät, että haitallinen hyötykuorma jakautui version 5.33 julkaisemisesta 15. elokuuta 2017 ja version 5.34 julkaisun välillä 12. syyskuuta 2017.

Tutkijoiden mielestä on todennäköistä, että 'ulkoinen hyökkääjä vaaransi osan' Piriformin kehitys- tai rakennusympäristöstä ja käytti pääsyä haittaohjelmien lisäämiseen CCleaner-rakennukseen. Toinen tutkijoiden mielestä vaihtoehto on, että sisäpiiriläinen sisälsi haitallisen koodin.

CCleaner-käyttäjät, jotka haluavat varmistaa, että vaarantunut versio ei ole vielä heidän järjestelmässään, voivat haluta skannata sen VirusTotal , tai skannaa se ClamAV: lla, koska se on tällä hetkellä ainoa virustorjuntaohjelma, joka havaitsee uhan.

Voit ladata ilmaiseksi ClamAV tältä verkkosivustolta.

Haitallinen hyötykuorma luo rekisteriavaimen HKLM SOFTWARE Piriform Agomo: ja käytti sitä erilaisten tietojen tallentamiseen.

piriform annettu lausunto 18. syyskuuta 2017. Tämän lausunnon mukaan ei-arkaluonteisia tietoja on voitu lähettää Amerikan yhdysvaltojen palvelimelle.

Kompromissi voi aiheuttaa ei-arkaluontoisen tiedon (tietokoneen nimi, IP-osoite, asennettujen ohjelmistojen luettelo, aktiivisten ohjelmien luettelo, verkkosovittimien luettelo) siirron kolmannen osapuolen tietokonepalvelimelle Yhdysvalloissa. Meillä ei ole merkkejä siitä, että palvelimelle olisi lähetetty muuta tietoa.

Paul Yung, yrityksen varatoimitusjohtaja, julkaistu tekninen arvio myös hyökkäyksestä yrityksen blogiin.

Ainoa Piriformin ehdotus on päivittää uusimpaan versioon.

Loppu sanat

CCleanerin ja CCleaner Cloudin vaarantuneet versiot jaettiin lähes kuukauden ajaksi. Yli 20 miljoonaa latausta kuukaudessa ja päivitykset ovat suuret määrät tietokoneita, joihin tämä on vaikuttanut.