Kinompromiso ng CCleaner: mas mahusay na suriin ang iyong PC
- Kategorya: Seguridad
Piriform, gumagawa ng tanyag na file cleaner CCleaner, nakumpirma noong Lunes 18th, 2017 na matagumpay na sinalakay ng mga hacker ang matagumpay na network ng kompyuter ng kumpanya.
Kinompromiso ng mga hacker ang dalawang bersyon ng CCleaner sa pag-atake na ginamit ng hanggang sa 3% ng base ng gumagamit ng kumpanya.
Ang mga apektadong bersyon ay CCleaner 5.33.6162 at CCleaner Cloud 1.07.3191. Ayon kay Piriform, ang 32-bit na bersyon lamang ng mga aplikasyon ay nakompromiso at ipinamahagi gamit ang sariling imprastraktura ng kumpanya.
Hinihiling ng kumpanya ang mga gumagamit na i-update ang kanilang bersyon ng programa sa pinakabagong magagamit na release kung hindi pa ito nagawa. Ang pinakabagong bersyon ng paglabas ng CCleaner ay bersyon 5.34 sa oras ng pagsulat.
- Ang CCleaner 5.33.6162 ay pinakawalan noong ika-15 ng Agosto 2017, at ang isang na-update na bersyon na hindi nakompromiso ay inilabas noong Setyembre 12, 2017.
- Ang CCleaner Cloud 1.07.3191 ay pinakawalan noong Agosto 24, 2017, at isang di-nakompromiso na bersyon ng programa noong Setyembre 15, 2017.
Security mananaliksik ng Talos Group ng Cisco ipinahayag mga detalye tungkol sa matagumpay na pag-atake ng chain chain. Ang kaalaman ng Talos Group kay Avast, ang magulang na kumpanya ng Piriform, tungkol sa sitwasyon.
Talos Group't nakilala ang isang tiyak na maipapatupad 'sa mga pagsubok ng bagong pagsasamantala sa tool ng kumpanya na nagmula sa CCleaner 5.33 installer na naman ay naihatid ng mga lehitimong CCleaner download server.
Ang pag-download ng pag-download ay nilagdaan gamit ang isang wastong piriform na Piriform. Ang installer ay naglalaman ng isang 'nakakahamak na payload na nagtatampok ng isang Domain Generation Algorithm' pati na rin ang 'hardcoded Command and Control' na pag-andar.
Napagpasyahan ng mga mananaliksik ng Talos na ang malisyosong payload ay ipinamahagi sa pagitan ng pagpapalabas ng bersyon 5.33 noong ika-15 ng Agosto, 2017 at ang paglabas ng bersyon 5.34 noong ika-12 ng Setyembre, 2017.
Sa palagay ng mga mananaliksik, malamang na ang 'isang panlabas na pag-atake ay nakompromiso ang isang bahagi' ng pag-unlad o pagtatayo ng Piriform, at ginamit ang pag-access upang ipasok ang malware sa build ng CCleaner. Ang isa pang pagpipilian na isinasaalang-alang ng mga mananaliksik ay ang isang tagaloob na kasama ang malisyosong code.
Ang mga gumagamit ng CCleaner na nais siguraduhin na ang nakompromiso na bersyon ay wala pa rin sa kanilang system ay maaaring nais nitong i-scan ito Virustotal , o i-scan ito sa ClamAV, dahil ito lamang ang antivirus software na nakakakita ng banta ngayon.
Maaari mong i-download ang libre ClamAV mula sa website na ito.
Ang malisyosong payload ay lumilikha ng registry key HKLM SOFTWARE Piriform Agomo: at ginamit ito upang mag-imbak ng iba't ibang impormasyon.
Piriform inilabas isang pahayag noong ika-18 ng Setyembre, 2017. Ayon sa pahayag na iyon, ang data na hindi sensitibo ay maaaring maipadala sa isang server sa Estados Unidos ng Amerika.
Ang kompromiso ay maaaring maging sanhi ng paghahatid ng data na hindi sensitibo (pangalan ng computer, IP address, listahan ng naka-install na software, listahan ng aktibong software, listahan ng mga adaptor ng network) sa isang server ng 3rd party na computer sa USA. Wala kaming mga pahiwatig na ang anumang iba pang data ay ipinadala sa server.
Paul Yung, ang VP ng kumpanya ng mga produkto, nai-publish isang teknikal na pagtatasa ng pag-atake sa blog ng kumpanya din.
Ang tanging mungkahi na mayroon ang Piriform ay upang mai-update sa pinakabagong bersyon.
Pagsasara ng Mga Salita
Ang mga nakompromiso na bersyon ng CCleaner at CCleaner Cloud ay ipinamamahagi ng halos isang buwan. Na may higit sa 20 milyong mga pag-download bawat buwan, at ang mga pag-update, iyon ay isang mataas na bilang ng mga PC na naapektuhan nito.