CCleaner - bezpečnostní hrozba (informace)

Vše ostatní o bezpečnosti…

Moderátoři: memphisto, Mods_senior, Security team

Uživatelský avatar
Polki
Level 2.5
Level 2.5
Příspěvky: 263
Registrován: srpen 07
Pohlaví: Nespecifikováno
Stav:
Offline

CCleaner - bezpečnostní hrozba (informace)

Příspěvekod Polki » 22 zář 2017 10:39

EDIT: 15:20 (sepsán souhrn v prvním příspěvku).

Ahoj,
začal jsem zde s příspěvkem ohledně CCleaneru a jeho možné bezpečnostní hrozby (starší verze CCleaneru - CCleaner 5.33.6162 and CCleaner Cloud 1.07.3191)

CCleaner byl podle všeho v jedné ze svých verzí napadený nebezpečným kódem:
https://www.zive.cz/clanky/hacknuty-ccleaner-je-mnohem-zakernejsi-nez-se-zdalo-update-na-novou-verzi-nestaci-provedte-obnovu-systemu/sc-3-a-189628/default.aspx
https://www.cnews.cz/deravy-ccleaner-byl-nakonec-zakernejsi-cisco-doporucuje-obnovu-systemu-ze-zalohy/
https://technet.idnes.cz/vir-a-ccleaner-0dw-/software.aspx?c=A170918_114459_tec-kratke-zpravy_vse

Oficiální blog společnosti Avast, která Piriform nyní vlastní:
https://blog.avast.com/update-to-the-ccleaner-5.33.6162-security-incident
https://blog.avast.com/progress-on-ccleaner-investigation

Útok byl mířen na firemní sféru, ale nakažený samozřejmě může být kdokoliv, kdo zmiňovanou verzi měl.

Avast doporučuje instalovat nejnovější verzi CCleaneru, což by mělo stačit pro soukromé uživatele:
"For consumers, we stand by the recommendation to upgrade CCleaner to the latest version (now 5.35, after we have revoked the signing certificate used to sign the impacted version 5.33) and use a quality antivirus product, such as Avast Antivirus."

Firemním se doporučuje samozřejmě aktualizovat také a je zmiňovaná návaznost na IT pravidla společností:
"For corporate users, the decision may be different and will likely depend on corporate IT policies. At this stage, we cannot state that the corporate machines could not be compromised, even though the attack was highly targeted."

Naopak Cisco doporučuje právě návrat k obnově nebo reinstalování:
"These findings also support and reinforce our previous recommendation that those impacted by this supply chain attack should not simply remove the affected version of CCleaner or update to the latest version, but should restore from backups or reimage systems to ensure that they completely remove not only the backdoored version of CCleaner but also any other malware that may be resident on the system."

Mnohokrát bylo také zmiňované, že se jedná pouze o 32bitovou kopii aplikace, což také není pravda:
"The 32-bit code is activated through a patched version of VirtCDRDrv32.dll (part of Corel’s WinZip package), while the 64-bit uses EFACli64.dll – part of a Symantec product."

Jak si s tím poradit je pěkne popsáno také v příspěvku na bleepingcomputer - díky jaro3
https://www.bleepingcomputer.com/how-to/security/ccleaner-malware-incident-what-you-need-to-know-and-how-to-remove/
Naposledy upravil(a) Polki dne 22 zář 2017 15:27, celkem upraveno 2 x.
Who let the dogs out?!

Reklama
Luking
Level 2
Level 2
Příspěvky: 230
Registrován: duben 17
Pohlaví: Muž
Stav:
Offline

Re: CCleaner - napadení

Příspěvekod Luking » 22 zář 2017 10:50

Ano psalo se tu už o tom že nefungoval Facebook.

Ano mají pravdu skutečně stačí nainstalovat novou verzi a projet počítač Antivirem, ale pozor ne smart, nebo doporučená kontrola, ale úplnou kontrolu PC trvá to i klidně několik hodin.
Photoshop, AutoCAD, Excel - Kontingenční tabulky, WebDesign
Jestli potřebuješ poradit, neváhej napsat, když bude v mých silách ti pomoct? Rád pomůžu :evil:

behavioralista
Level 4
Level 4
Příspěvky: 1359
Registrován: únor 14
Bydliště: Jižní Morava
Pohlaví: Muž
Stav:
Offline

Re: CCleaner - napadení

Příspěvekod behavioralista » 22 zář 2017 11:00

Ty hňupe,než začneš vyvolávat hysterii a obavy,tak si o tom nejprve něco zjisti.
Cílem byly firemní uživatelé 32-bitové verze.

Uživatelský avatar
atari
Level 6
Level 6
Příspěvky: 3195
Registrován: říjen 08
Pohlaví: Muž
Stav:
Offline

Re: CCleaner - napadení

Příspěvekod atari » 22 zář 2017 11:07

Než začneš někoho nazývat hňupem tak se nad sebou trochu zamysli. Nejde o to kdo je cílem, ale o to, jaký PC je napaden. Takže všichni kdo si napadený soft stáhli a nainstalovali do PC, tak jsou v ohrožení. A to nebyli jenom firemní uživatelé.

Polki: já vždy udržuji zálohu registrů 30 dní zpět, takže pokud se něco děje, tak vyčistím PC (to nativiry zvládnou) nebo to udělám ručně. A obnovím registr ze zálohy, to je taková jistota, kterou doporučuji.

Uživatelský avatar
Polki
Level 2.5
Level 2.5
Příspěvky: 263
Registrován: srpen 07
Pohlaví: Nespecifikováno
Stav:
Offline

Re: CCleaner - napadení

Příspěvekod Polki » 22 zář 2017 12:04

behavioralista:
Klidně mě nazývej hňupem, už mi říkali i hůř.
Ale abych odpověděl na tvůj komentář. Nemyslím si, že vyvolávám paniku, jen jsem prezentoval informace ohledně možného bezpečnostního rizika a to především z webu avastu:
https://blog.avast.com/update-to-the-ccleaner-5.33.6162-security-incident
https://blog.avast.com/progress-on-ccleaner-investigation

Jak zmínil atari: je vlastně úplně jedno, jestli jsi firemní nebo soukromí uživatel, prostě jsi byl nakažen. I Avast se ve zmíněných textech výše nezaměřuje jen na firemní klientelu. Text o ní jsem záměrně vynechal, ale je tam také:
"For corporate users, the decision may be different and will likely depend on corporate IT policies. At this stage, we cannot state that the corporate machines could not be compromised, even though the attack was highly targeted."

Něco si nejprve zjisti? Ano, zjistil jsem si to, že Avast doporučuje instalovat nejnovější verzi CCleaneru a tím to hasne. Naopak Cisco doporučuje právě návrat k obnově nebo reinstalování:
These findings also support and reinforce our previous recommendation that those impacted by this supply chain attack should not simply remove the affected version of CCleaner or update to the latest version, but should restore from backups or reimage systems to ensure that they completely remove not only the backdoored version of CCleaner but also any other malware that may be resident on the system.
http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html

A po tom, co jsem si něco zjistil, jsem šel na toto fórum pro radu. A doufám, že tento topic pomůže i ostatním.

atari Díky za informace.

Dodatečně přidáno po 1 minutě 24 vteřinách:
behavioralista
Jen pro tvoji informaci ještě doplním, že nešlo jen o 32bitovou kopii aplikace.

The 32-bit code is activated through a patched version of VirtCDRDrv32.dll (part of Corel’s WinZip package), while the 64-bit uses EFACli64.dll – part of a Symantec product.
Who let the dogs out?!

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: CCleaner - bezpečnostní hrozba (informace)

Příspěvekod jaro3 » 22 zář 2017 13:41

CCleaner Malware Incident - What You Need to Know and How to Remove
https://www.bleepingcomputer.com/how-to ... to-remove/
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra


Zpět na “Vše ostatní (bezp)”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 6 hostů