image

Ontwikkelomgeving CCleaner mogelijk al sinds 3 juli gehackt

dinsdag 19 september 2017, 10:09 door Redactie, 15 reacties

De ontwikkelomgeving van de het populaire programma CCleaner was mogelijk al sinds 3 juli gehackt, zo laat Avast weten, het anti-virusbedrijf dat de tool en ontwikkelaar Piriform op 18 juli overnam. Gisteren maakte Piriform bekend dat aanvallers een backdoor aan CCleaner hadden toegevoegd.

Het ging om CCleaner versie 5.33.6162 en CCleaner Cloud versie 1.07.3191 voor 32-bit Windows die van 15 augustus tot 12 september via de officiële downloadservers werden aangeboden en over een geldig certificaat beschikten. De backdoor stuurt informatie over het systeem, zoals ip-adres, mac-adressen, computernaam, of het proces met adminrechten draait en geïnstalleerde software, naar een remote server en is in staat om code uit te voeren die door de server wordt teruggestuurd.

De besmette versies van CCleaner werden in de vier weken dat ze werden aangeboden door 2,27 miljoen gebruikers gedownload. Inmiddels zijn er nog 730.000 gebruikers met een besmette versie van CCleaner. Volgens Avast moeten deze gebruikers naar de nieuwste versie upgraden, maar lopen ze geen risico aangezien de server waarmee de backdoor communiceerde uit de lucht is gehaald. Cisco adviseerde getroffen gebruikers om hun systeem opnieuw te installeren of te herstellen naar een staat van voor 15 augustus, maar dat is niet nodig, aldus Avast. De backdoor-server werd namelijk uitgeschakeld voordat die kwaadaardige code naar besmette systemen kon terugsturen.

Inmiddels is de ontwikkelomgeving van Piriform naar de infrastructuur van Avast gemigreerd en zullen alle Piriform-medewerkers naar het interne it-systeem van Avast worden verhuisd. Hoe de aanvallers toegang tot de ontwikkelomgeving van CCleaner wisten te krijgen is nog niet bekendgemaakt. CCleaner is een zeer populaire tool die cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden kan verwijderen. Het is in totaal meer dan 2 miljard keer gedownload en heeft wereldwijd 130 miljoen gebruikers.

Reacties (15)
19-09-2017, 10:41 door Anoniem
Zou Priform voor de overname nog snel even een achterdeurtje ingebouwd hebben met de wetenschap dat de overname door Avast toch snel afgerond zou zijn?
19-09-2017, 10:47 door SecGuru_OTX
Volgens een onderzoeker van Kaspersky:

"The malware injected into #CCleaner has shared code with several tools used by one of the APT groups from the #Axiom APT 'umbrella'."
19-09-2017, 11:06 door Anoniem
Sinds de overname door Avast heb ik afscheid genomen van dit leuke programma.
19-09-2017, 11:43 door SecGuru_OTX
Na alles nog een keer goed gelezen en getest te hebben is mijn advies om te checken of onderstaande regkey aanwezig is:

HKLM\SOFTWARE\Piriform\Agomo:TCID

Ook na een eventuele regkey naar versie 5.34 blijft deze regkey bestaan.

Indien de regkey aanwezig is:

- installeer je computer helemaal opnieuw;
- verander al je wachtwoorden (ook al je online accounts)
- wanneer je een PW manager gebruikt: verander het master wachtwoord

Niemand kan aangeven wat de impact is geweest, welke info er is gestolen, en welke eventuele andere programma's er zijn geinstalleerd.

Er is niets bekend dus ga uit van het ergste.
19-09-2017, 11:54 door Anoniem
Door SecGuru_OTX: Na alles nog een keer goed gelezen en getest te hebben is mijn advies om te checken of onderstaande regkey aanwezig is:

HKLM\SOFTWARE\Piriform\Agomo:TCID

Ook na een eventuele regkey naar versie 5.34 blijft deze regkey bestaan.

Indien de regkey aanwezig is:

- installeer je computer helemaal opnieuw;
- verander al je wachtwoorden (ook al je online accounts)
- wanneer je een PW manager gebruikt: verander het master wachtwoord

Niemand kan aangeven wat de impact is geweest, welke info er is gestolen, en welke eventuele andere programma's er zijn geinstalleerd.

Er is niets bekend dus ga uit van het ergste.

Goed advies, bestaat niet bij mij (W7 64bit)
19-09-2017, 12:01 door Anoniem
De check is hier: http://www.majorgeeks.com/news/story/how_to_tell_if_you_were_infected_by_the_ccleaner_malware_issue.html

De hack was er al voordat avast CCleaner verwierf en Piriform hun team kwam "versterken".

Ja een klein bedrijfje als dat van Priforms is natuurlijk moeilijk rondom te beveiligen. Mijn vraag is:
"Is er eigenlijk in 'Murica' nog iets afdoende finaal te beveiligen?". Ik zet met alle inspanningen van NSA en gelijkgestemden daar een heel groot vraagteken bij, maar de situatie aan deze kant van de visvijver is natuurlijk niet erg rooskleuriger.

Ze hebben naar hun zeggen al die tijd de vinger aan de pols gehouden en een tweede uitbraak gevreesd, die niet kwam.

Volgens hen zullen ze zorgen dat het niet weer gebeurt, maar dat zeiden ze bij hun forum hack destijds ook.

Achteraf kijk je altijd een koe in de k*nt - makkelijk zat.
19-09-2017, 12:15 door Anoniem
Is toch prachtig voor Avast dat de backdoor er alvast in zit?
Net alsof Avast zelf geen onnodige data verzameld van gebruikers met hun software.
19-09-2017, 12:23 door Anoniem
Volgens Avast moeten deze gebruikers naar de nieuwste versie upgraden, maar lopen ze geen risico aangezien de server waarmee de backdoor communiceerde uit de lucht is gehaald.

"Geen risico", zegt AVAST... Maar... wie zegt dat de gegevens niet allang zijn doorgestuurd. Eea heeft meer als een maand gedraaid voordat het ontdekt werd.

en is in staat om code uit te voeren die door de server wordt teruggestuurd.

Wie garandeert dat er niet al code is verstuurd om een reeds verstuurde payload weer te verwijderen, ed.

AVAST zegt, maar weet eigenlijk niets. Een security bedrijf dat een ander bedrijf koopt en geen audit op de code, netwerken e.d. doet van het bedrijf dat gekocht is, dat zegt eigenlijk genoeg.

Er zal dus wel veel meer lekken bij AVAST!
19-09-2017, 17:46 door RSB1992
Door SecGuru_OTX: Na alles nog een keer goed gelezen en getest te hebben is mijn advies om te checken of onderstaande regkey aanwezig is:

HKLM\SOFTWARE\Piriform\Agomo:TCID

Ook na een eventuele regkey naar versie 5.34 blijft deze regkey bestaan.

Indien de regkey aanwezig is:

- installeer je computer helemaal opnieuw;
- verander al je wachtwoorden (ook al je online accounts)
- wanneer je een PW manager gebruikt: verander het master wachtwoord

Niemand kan aangeven wat de impact is geweest, welke info er is gestolen, en welke eventuele andere programma's er zijn geinstalleerd.

Er is niets bekend dus ga uit van het ergste.

Het spijt me dat ik het moet zeggen maar vandaag op mijn vrijwilligerswerk had ik pas een pc geïnstalleerd die had de betreffende 5.33 ccleaner. Niet die Agoma key in het register, maar Avira sloeg wel meteen alarm daarstraks toen ik Avira liet updaten.
19-09-2017, 18:35 door Anoniem
ik heb net ccleaner verwijderd
ook de downloads ervan de 5.33
mbam sloeg aan omdat het nog in de prullenbak stond
dus verwijderd
dit ingetikt bij start - progamma.s en bestanden zoeken
HKLM\SOFTWARE\Piriform\Agomo:TCID
vind niks gelukkig
mijn pc is 64 bits
wel die ccleaner paar keer gebruikt
vraag is dit voldoende ?
ccleaner gebruik ik liever niet meer
wat is het alternatief om voornamelijk ccokies weg te halen
ik gebruik wel al lang avast free
19-09-2017, 19:12 door Anoniem
Door Anoniem: De check is hier: http://www.majorgeeks.com/news/story/how_to_tell_if_you_were_infected_by_the_ccleaner_malware_issue.html

De hack was er al voordat avast CCleaner verwierf en Piriform hun team kwam "versterken".

Ja een klein bedrijfje als dat van Priforms is natuurlijk moeilijk rondom te beveiligen. Mijn vraag is:
"Is er eigenlijk in 'Murica' nog iets afdoende finaal te beveiligen?". Ik zet met alle inspanningen van NSA en gelijkgestemden daar een heel groot vraagteken bij, maar de situatie aan deze kant van de visvijver is natuurlijk niet erg rooskleuriger.

Ze hebben naar hun zeggen al die tijd de vinger aan de pols gehouden en een tweede uitbraak gevreesd, die niet kwam.

Volgens hen zullen ze zorgen dat het niet weer gebeurt, maar dat zeiden ze bij hun forum hack destijds ook.

Achteraf kijk je altijd een koe in de k*nt - makkelijk zat.

dit is wel een hele goede bijdrage
net de check gedaan en gelukkig niks in die registermappen
vraag me alleen af of ik na al die jaren Avast er ook maar af zal
gooien
is een vervanger eigenlijk wel nodig van ccleaner
bleachbit word hier al genoemd
ik deed alleen cookies en register door ccleaner
vaak na een nieuwe update vond die dingen
19-09-2017, 19:42 door Anoniem
Kan CCleaner niet zelf met de app het probleem schonen ????
19-09-2017, 22:26 door Anoniem
Zozie je maar weer dat het helemaal niet verstandig is, om voor alle software die op je computer staat, direct te updaten als de update beschikbaar is.

Voor dingen als browsers ed. ja, voor systeemsoftware eveneens, maar zo'n onderhoudsprogramma als CCleaner werkt in een oude versie net zo goed als in een nieuwe. Er zijn hoogstens wat opties bijgekomen of wat bugs verwijderd. Voor de veiligheid is het bij zo'n programma helemaal niet belangrijk om de nieuwste versie te hebben. Integendeel blijkt nu maar.

De bij mij geïnstalleerde versie bleek 5.02.5101 te zijn. En daar heb ik ook de installatiefile van bewaard. Die koester ik voorlopig maar even, nu CCleaner naar Avast over is gegaan.
20-09-2017, 09:40 door ph-cofi
Kun je niet zonder gratis third party cleaner software? Cookies kan de browser ook opruimen. Of heeft MS mooie opruim tools?
21-09-2017, 08:07 door SecGuru_OTX
Talos heeft nu ook additionele payload waargenomen, de payload is gericht om 20 andere organisaties aan te vallen:

http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html

Avast geeft nu ook een ander advies:
https://blog.avast.com/progress-on-ccleaner-investigation

Mijn advies:
Heb je ooit versie 5.33 geinstalleerd: Installeer je computer opnieuw en wijzig al je wachtwoorden.

Daarnaast mijn persoonlijk advies: gebruik geen CCleaner of Avast meer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.