Piriform, den Machern des beliebten Datei-Reiniger CCleaner, bestätigte am Montag 18, 2017, Hackern gelang ein Angriff auf die Firma computer-Netzwerk erfolgreich.
Die Hacker kompromittierten zwei Versionen von CCleaner in den Angriff, die verwendet wurden, um bis zu 3% der Unternehmen-Benutzer Basis.
Die betroffenen Versionen sind CCleaner 5.33.6162 und CCleaner Cloud 1.07.3191. Laut Piriform, nur die 32-bit-Versionen der Anwendungen, die gefährdet wurden, und verteilte mit dem Unternehmen in die eigene Infrastruktur.
Das Unternehmen bittet die Nutzer um die Aktualisierung Ihrer version des Programms auf die neueste verfügbare Version, wenn das noch nicht geschehen ist. Die neueste version von CCleaner version 5.34 zu der Zeit des Schreibens.
- CCleaner 5.33.6162 wurde veröffentlicht am 15 August, 2017 und einem aktualisierten nicht-manipulierte version wurde veröffentlicht am September 12, 2017.
- CCleaner Cloud 1.07.3191 wurde veröffentlicht am August 24th, 2017, und eine nicht kompromittierte version des Programms am September 15th, 2017.
Sicherheits-Forscher von der Cisco Talos Group enthüllt details über die erfolgreiche supply-chain-attack. Talos-Gruppe informiert Avast, der Muttergesellschaft von Piriform, über die situation.
Talos-Gruppe”identifiziert eine bestimmte ausführbare” während des tests von dem neuen exploit-Erkennung Werkzeug, das kam aus der CCleaner 5.33 installer, der wiederum zugestellt wurde, durch legitime CCleaner download-Servern.
Der download ausführbarer unterzeichnet wurde, eine gültige Piriform Signatur. Der installer enthielt einen “bösartigen Nutzlast, die vorgestellten eines Domain-Generation-Algorithmus” sowie “hardcoded Command and Control” – Funktionalität.
Der Talos Forscher kamen zu dem Ergebnis, dass die bösartigen Nutzlast verteilt wurde, zwischen der Veröffentlichung von version 5.33 auf 15 August, 2017 und der Veröffentlichung von version 5.34 September 12th, 2017.
Die Forscher denken, es ist wahrscheinlich, dass “ein externer Angreifer kompromittiert einen Teil” von Piriform ist die Entwicklung oder die build-Umgebung und verwendet den Zugang zu legen, der die malware in die CCleaner bauen. Eine weitere option, die die Forscher beachten ist, dass ein insider enthalten, die bösartigen code.
Lesen Sie auch: MBRFilter schützt den Master Boot Record gegen manipulation
CCleaner Benutzer, die sicherstellen möchten, dass die manipulierte version ist noch nicht auf Ihrem system wollen, können Sie Scannen auf Virustotal, oder Sie Scannen mit ClamAV, da es das einzige antivirus-software, die erkennt die Bedrohung jetzt.
Sie können die Kostenlose ClamAV aus dieser website.
Die bösartige payload schafft den Registry key HKLMSOFTWAREPiriformAgomo: und verwendet Sie zum speichern von verschiedenen Informationen.
Piriform eine Erklärung abgegeben, am September 18, 2017. Nach dieser Aussage, nicht-sensible Daten dürfen übermittelt werden an einen server in den Vereinigten Staaten von Amerika.
Der Kompromiss könnte dazu führen, die übertragung von nicht-sensiblen Daten (Computername, IP-Adresse, Liste der installierten software-Liste von active-software, Liste der Netzwerk-Adapter) an eine 3rd-party-computer-server in den USA. Wir haben keine Indikationen, dass alle anderen Daten wurden zum server gesendet werden.
Paul Yung, das Unternehmen Vice President of products, veröffentlicht eine technische Bewertung des Angriffs auf das Unternehmens-blog als auch.
Der einzige Vorschlag, Piriform hat, ist ein update auf die aktuellste version.
Schlusswort
Die manipulierte Versionen von CCleaner und CCleaner Cloud verteilt wurden seit fast einem Monat. Mit über 20 Millionen downloads pro Monat, und die updates, das ist eine hohe Anzahl von PCs, die betroffen sind.