CCleaner - bezpečnostní hrozba (informace)

Vše ostatní o bezpečnosti…

Moderátoři: memphisto, Mods_senior, Security team

Uživatelský avatar
Polki
Level 2.5
Level 2.5
Příspěvky: 263
Registrován: srpen 07
Pohlaví: Nespecifikováno

CCleaner - bezpečnostní hrozba (informace)

Příspěvekod Polki » 22 zář 2017 10:39

EDIT: 15:20 (sepsán souhrn v prvním příspěvku).

Ahoj,
začal jsem zde s příspěvkem ohledně CCleaneru a jeho možné bezpečnostní hrozby (starší verze CCleaneru - CCleaner 5.33.6162 and CCleaner Cloud 1.07.3191)

CCleaner byl podle všeho v jedné ze svých verzí napadený nebezpečným kódem:
https://www.zive.cz/clanky/hacknuty-ccleaner-je-mnohem-zakernejsi-nez-se-zdalo-update-na-novou-verzi-nestaci-provedte-obnovu-systemu/sc-3-a-189628/default.aspx
https://www.cnews.cz/deravy-ccleaner-byl-nakonec-zakernejsi-cisco-doporucuje-obnovu-systemu-ze-zalohy/
https://technet.idnes.cz/vir-a-ccleaner-0dw-/software.aspx?c=A170918_114459_tec-kratke-zpravy_vse

Oficiální blog společnosti Avast, která Piriform nyní vlastní:
https://blog.avast.com/update-to-the-ccleaner-5.33.6162-security-incident
https://blog.avast.com/progress-on-ccleaner-investigation

Útok byl mířen na firemní sféru, ale nakažený samozřejmě může být kdokoliv, kdo zmiňovanou verzi měl.

Avast doporučuje instalovat nejnovější verzi CCleaneru, což by mělo stačit pro soukromé uživatele:
"For consumers, we stand by the recommendation to upgrade CCleaner to the latest version (now 5.35, after we have revoked the signing certificate used to sign the impacted version 5.33) and use a quality antivirus product, such as Avast Antivirus."

Firemním se doporučuje samozřejmě aktualizovat také a je zmiňovaná návaznost na IT pravidla společností:
"For corporate users, the decision may be different and will likely depend on corporate IT policies. At this stage, we cannot state that the corporate machines could not be compromised, even though the attack was highly targeted."

Naopak Cisco doporučuje právě návrat k obnově nebo reinstalování:
"These findings also support and reinforce our previous recommendation that those impacted by this supply chain attack should not simply remove the affected version of CCleaner or update to the latest version, but should restore from backups or reimage systems to ensure that they completely remove not only the backdoored version of CCleaner but also any other malware that may be resident on the system."

Mnohokrát bylo také zmiňované, že se jedná pouze o 32bitovou kopii aplikace, což také není pravda:
"The 32-bit code is activated through a patched version of VirtCDRDrv32.dll (part of Corel’s WinZip package), while the 64-bit uses EFACli64.dll – part of a Symantec product."

Jak si s tím poradit je pěkne popsáno také v příspěvku na bleepingcomputer - díky jaro3
https://www.bleepingcomputer.com/how-to/security/ccleaner-malware-incident-what-you-need-to-know-and-how-to-remove/
Naposledy upravil(a) Polki dne 22 zář 2017 15:27, celkem upraveno 2 x.


Who let the dogs out?!

Reklama
Luking
Level 2
Level 2
Příspěvky: 207
Registrován: duben 17
Pohlaví: Muž

Re: CCleaner - napadení

Příspěvekod Luking » 22 zář 2017 10:50

Ano psalo se tu už o tom že nefungoval Facebook.

Ano mají pravdu skutečně stačí nainstalovat novou verzi a projet počítač Antivirem, ale pozor ne smart, nebo doporučená kontrola, ale úplnou kontrolu PC trvá to i klidně několik hodin.
Photoshop, AutoCAD, Excel - Kontingenční tabulky, WebDesign
Jestli potřebuješ poradit, neváhej napsat, když bude v mých silách ti pomoct? Rád pomůžu :evil:

behavioralista
Level 4
Level 4
Příspěvky: 1209
Registrován: únor 14
Bydliště: Jižní Morava
Pohlaví: Muž

Re: CCleaner - napadení

Příspěvekod behavioralista » 22 zář 2017 11:00

Ty hňupe,než začneš vyvolávat hysterii a obavy,tak si o tom nejprve něco zjisti.
Cílem byly firemní uživatelé 32-bitové verze.

Uživatelský avatar
atari
Level 4
Level 4
Příspěvky: 1374
Registrován: říjen 08
Pohlaví: Muž

Re: CCleaner - napadení

Příspěvekod atari » 22 zář 2017 11:07

Než začneš někoho nazývat hňupem tak se nad sebou trochu zamysli. Nejde o to kdo je cílem, ale o to, jaký PC je napaden. Takže všichni kdo si napadený soft stáhli a nainstalovali do PC, tak jsou v ohrožení. A to nebyli jenom firemní uživatelé.

Polki: já vždy udržuji zálohu registrů 30 dní zpět, takže pokud se něco děje, tak vyčistím PC (to nativiry zvládnou) nebo to udělám ručně. A obnovím registr ze zálohy, to je taková jistota, kterou doporučuji.

Uživatelský avatar
Polki
Level 2.5
Level 2.5
Příspěvky: 263
Registrován: srpen 07
Pohlaví: Nespecifikováno

Re: CCleaner - napadení

Příspěvekod Polki » 22 zář 2017 12:04

behavioralista:
Klidně mě nazývej hňupem, už mi říkali i hůř.
Ale abych odpověděl na tvůj komentář. Nemyslím si, že vyvolávám paniku, jen jsem prezentoval informace ohledně možného bezpečnostního rizika a to především z webu avastu:
https://blog.avast.com/update-to-the-ccleaner-5.33.6162-security-incident
https://blog.avast.com/progress-on-ccleaner-investigation

Jak zmínil atari: je vlastně úplně jedno, jestli jsi firemní nebo soukromí uživatel, prostě jsi byl nakažen. I Avast se ve zmíněných textech výše nezaměřuje jen na firemní klientelu. Text o ní jsem záměrně vynechal, ale je tam také:
"For corporate users, the decision may be different and will likely depend on corporate IT policies. At this stage, we cannot state that the corporate machines could not be compromised, even though the attack was highly targeted."

Něco si nejprve zjisti? Ano, zjistil jsem si to, že Avast doporučuje instalovat nejnovější verzi CCleaneru a tím to hasne. Naopak Cisco doporučuje právě návrat k obnově nebo reinstalování:
These findings also support and reinforce our previous recommendation that those impacted by this supply chain attack should not simply remove the affected version of CCleaner or update to the latest version, but should restore from backups or reimage systems to ensure that they completely remove not only the backdoored version of CCleaner but also any other malware that may be resident on the system.
http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html

A po tom, co jsem si něco zjistil, jsem šel na toto fórum pro radu. A doufám, že tento topic pomůže i ostatním.

atari Díky za informace.

Dodatečně přidáno po 1 minutě 24 vteřinách:
behavioralista
Jen pro tvoji informaci ještě doplním, že nešlo jen o 32bitovou kopii aplikace.

The 32-bit code is activated through a patched version of VirtCDRDrv32.dll (part of Corel’s WinZip package), while the 64-bit uses EFACli64.dll – part of a Symantec product.
Who let the dogs out?!

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 37259
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž

Re: CCleaner - bezpečnostní hrozba (informace)

Příspěvekod jaro3 » 22 zář 2017 13:41

CCleaner Malware Incident - What You Need to Know and How to Remove
https://www.bleepingcomputer.com/how-to ... to-remove/
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra


  • Mohlo by vás zajímat
    Odpovědi
    Zobrazení
    Poslední příspěvek
  • CCleaner
    od kubaprikryl » 25 kvě 2017 17:11 » v Vše ostatní (sw)
    1
    225
    od Pic
    25 kvě 2017 17:31
  • CCleaner
    od Jestřáb » 05 říj 2017 18:20 » v Vše ostatní (sw)
    6
    355
    od Kraken93
    06 říj 2017 13:21
  • Alternativa CCleaner pro Raspbian
    od Jakub H. » 23 dub 2017 11:59 » v Vše ostatní (sw)
    4
    296
    od petr22
    23 dub 2017 12:09
  • WIN 10 CCleaner problem s loadingem
    od Ghepardik » 29 čer 2017 22:42 » v Windows 10, 8, 7, Vista, XP…
    1
    209
    od Pic
    30 čer 2017 17:17
  • Odkud bere Google now informace o počasí?
    od cerberos2 » 05 lis 2017 09:19 » v Vše ostatní (sw)
    2
    243
    od X
    06 lis 2017 13:41

Zpět na “Vše ostatní (bezp)”

Kdo je online

Uživatelé prohlížející si toto fórum: CommonCrawl [Bot] a 1 host