Présence de code malveillant dans Piriform CCleaner
1 - Risque(s)
Exécution de code arbitraire à distance
2 - Systèmes affectés
CCleaner v5.33.6162 sur windows
CCleaner Cloud v1.07.3191 sur windows
3 - Résumé
Le 12 septembre 2017, la société Talos (CISCO) observe des transferts de données, dans l'ultra célèbre logiciel (2,27 millions d'utilisateurs) de nettoyage des ordinateurs sous WIndows, CCleaner, vers une adresse IP inconnue. CCleaner s'avère être affecté d'une faille de sécurité (un backdoor y a été injecté) depuis le 15 août 2017 (depuis la précédente mise à jour 5.33). Ce backdoor permet à l'attaquant, gérant un botnet depuis son C&C, d'injecter du code quelconque et de le faire s'exécuter sur chaque machine au monde disposant de la version 5.33 de CCleaner (seules sont concernées les versions CCleaner v5.33.6162 et CCleaner Cloud v1.07.3191 pour Windows 32-bit). Ce logiciel, se comportant comme un virus (un cheval de Troie) et doté d'un certificat (signature numérique) totalement légal délivré par Symantec.
La société Morphisec fait remarquer qu'elle a identifié cette attaque et l'a bloquée chez ses client dès les 20 et 21 août 2117, prévenant immédiatement AVAST et Piriform (AVAST étant le propriétaire de Piriform qu'elle a racheté).
Le 18 septembre 2017, un représentant de Piriform CCleaner a annoncé que depuis le 15 août 2017, CCleaner et CCleaner Cloud, dans leurs versions 32 bits, contenait une portion de code malveillant fonctionnant en
Backdoor (Porte dérobée) et permettant à un cybercriminel pilotant les machines des utilisateurs finaux, à partir d'un
Botnet (réseau de machines zombies) depuis sa machine de
C&C - Command and Control, de télécharger du code quelconque et d'en lancer l'exécution à distance.
On remarquera que le
Certificat électronique d'authentification (signature numérique) est parfaitement légal et qu'il convient, encore une fois, de se souvenir qu'un tel certificat permet de s'assurer que l'émetteur est bien qui il prétend être (que Piriform est bien le bon Piriform). Un virus peut tout à fait légalement être affublé d'un
Certificat électronique d'authentification (signature numérique) qui ne concerne pas du tout le code qu'aucune autorité ne peut certifier.
4 - Contournement provisoire
Dans un billet de blogue (cf, section Documentation), Talos explique le fonctionnement de l'attaque. Lorsque CCleaner.exe est exécuté, la portion de code malveillante rajoutée par les attaquants est également lancée. Après une dizaine de minutes, une tentative de connexion est effectuée pour tenter de télécharger et exécuter du code, depuis la porte dérobée ouverte sur le poste de l'utilisateur.
Afin de déterminer si une machine est infectée, il convient de vérifier les éléments suivants :
Si une version affectée (cf. section Systèmes affectés) est installée sur la machine, la présence de la clé de registre Windows HKLM\SOFTWARE\Piriform peut être vérifiée sur le système.
En cas de compromission la machine aura communiqué vers l'adresse ip 216.126.225.148_BAD_ ou vers l'un des domaines suivants :
ab6d54340c1a[.]com._BAD_
aba9a949bc1d[.]com._BAD_
ab2da3d400c20[.]com._BAD_
ab3520430c23[.]com._BAD_
ab1c403220c27[.]com._BAD_
ab1abad1d0c2a[.]com._BAD_
ab8cee60c2d[.]com._BAD_
ab1145b758c30[.]com._BAD_
ab890e964c34[.]com._BAD_
ab3d685a0c37[.]com._BAD_
ab70a139cc3a[.]com._BAD_
Si tel est le cas, la machine doit être considérée comme potentiellement compromise et restaurée à un état antérieur au 15 août 2017, ou de préférence complètement ré-imagée.
Une autre preuve de compromission est la présence de la clé de registre Windows HKLM\SOFTWARE\Piriform\Agomo.
L'éditeur Piriform indique ne pas avoir constaté une exécution de la porte dérobée et que l'infrastructure de contrôle du code malveillant a été démantelée.
Toutefois, le code malveillant inclus avec CCleaner a été signé avec la clé privée de l'éditeur. Cela indique une
probable compromission interne impactant leur chaîne de publication. Une confiance faible doit être accordée au certificat utilisé par Piriform et tout élément signé par celui-ci (sha1 : f4bda9efa31ef4a8fa3b6bb0be13862d7b8ed9b0).
Il est possible de placer ce dernier dans la liste des certificats non autorisés de Windows (cf. section Documentation). Cette action n'est pas bloquante, l'utilisateur pourra exécuter le programme mais il verra s'afficher un message d'alerte.
De manière plus restrictive, on peut interdire l'utilisation de tout programme signé avec un certificat jugé indigne de confiance avec Applocker (cf. section Documentation).
5 - Documentation
Bulletin de sécurité Piriform du 18 septembre 2017
http://www.piriform.com/news/blog/2017/ ... dows-users Billet de blogue Talos
http://blog.talosintelligence.com/2017/ ... lware.html Billet de blogue Morphisec
http://blog.morphisec.com/morphisec-dis ... r-backdoor Annonce Avast
https://blog.avast.com/update-to-the-cc ... y-incident Configurer des racines de confiance et des certificats non autorisés
https://technet.microsoft.com/fr-fr/lib ... 83(v=ws.11).aspx