Assiste.Forums

[bellafago]

Bonjour,


CCleaner compromis par une backdoor:
Piriform, l’éditeur de l’utilitaire CCleaner de nettoyage et d’optimisation de Windows, vient de reconnaître qu’il a fait l’objet d’une attaque.

Les versions 5.33.6162 sur poste fixe et 1.07.3191 en mode Cloud de sa solution ont été compromises.
Source et suite: Silicon.fr et mise a jour manuelle:
Ccleaner.

@+

[pierre]

Bonjour,
Merci Bellafago

Les liens CCleaner sur la fiche CCleaner sont toujours à jour (ils pointent systématiquement vers la dernière version).
La version actuelle est la 5.34.6207 du 12.09.2017

Piriform n'annonce pas le correctif de la compromission le 12.09.2017. Elle ne sera révélée que quelques jours après mais elle est corrigée depuis cette version.

v5.34.6207 (12 Sep 2017)

Browser Cleaning
- Firefox: Internet History cleaning rule no longer removes Favicon content

General
- Minor GUI improvements
- Minor bug fixes

Notons que la version SLIM (sans sponsor) n'est pas disponible actuellement, mais il n'y a aucun sponsor dans l'installeur de la version standard.

CCleaner

Cordialement

[bellafago]

Bonjour Pierre,


Le rapport d' IBM sur ccleaner: ccleaner.

@+

Bellafago.

[pierre]

Ce qui étonnant, c'est que c'est un composant pré-édition des liens qui est compromis. Un composant standard que l'on trouve sur les machines de développement.
Soit le logiciel a été compromis sur le serveur de téléchargement et le certificat a été compromis
Soit le composant a été compromis avant édition des liens (link edit) et c'est alors une malveillance en interne, chez Piriform.

[Tourix]

Bonsoir, merci Bellafago. J'utilise la version portable de Ccleaner .

[pierre]

Bonjour,

J'ai viré CCleaner de ma machine il y a longtemps.

Cette application m'énerve - son service résident qui me surveille, ses effacements qui tiennent plus de la destruction de mon confort d'usage de mon système que d'un nettoyage intelligent, etc. Le souvenir de sa connerie de suppression du Prefetch CCleaner - Mode d'emploi - 10 - Vieilles données du Prefetch (qui continue encore !).

Et il tripote le registre !

1. Guerre des nettoyeurs et défragmenteurs du registre Windows
2. Nettoyage et défragmentation du Registre Windows

Ça commence à bien faire avec CCleaner.

Le nettoyage ne se fait plus qu'avec l'outil de Windows (Nettoyage de disque (assistant cleanmgr.exe de Windows)), un point, c'est tout.

Je viens de réinstaller CCleaner pour vérifier la version (un flottement dans l'annonce du code de la nouvelle version qu'il me fallait vérifier) et mettre à jour sa fiche dans la logithèque puis Revo Uninstaller. Allez, zou ! du balai !

[pierre]

Présence de code malveillant dans Piriform CCleaner

1 - Risque(s)
Exécution de code arbitraire à distance

2 - Systèmes affectés
CCleaner v5.33.6162 sur windows
CCleaner Cloud v1.07.3191 sur windows

3 - Résumé
Le 12 septembre 2017, la société Talos (CISCO) observe des transferts de données, dans l'ultra célèbre logiciel (2,27 millions d'utilisateurs) de nettoyage des ordinateurs sous WIndows, CCleaner, vers une adresse IP inconnue. CCleaner s'avère être affecté d'une faille de sécurité (un backdoor y a été injecté) depuis le 15 août 2017 (depuis la précédente mise à jour 5.33). Ce backdoor permet à l'attaquant, gérant un botnet depuis son C&C, d'injecter du code quelconque et de le faire s'exécuter sur chaque machine au monde disposant de la version 5.33 de CCleaner (seules sont concernées les versions CCleaner v5.33.6162 et CCleaner Cloud v1.07.3191 pour Windows 32-bit). Ce logiciel, se comportant comme un virus (un cheval de Troie) et doté d'un certificat (signature numérique) totalement légal délivré par Symantec.

La société Morphisec fait remarquer qu'elle a identifié cette attaque et l'a bloquée chez ses client dès les 20 et 21 août 2117, prévenant immédiatement AVAST et Piriform (AVAST étant le propriétaire de Piriform qu'elle a racheté).

Le 18 septembre 2017, un représentant de Piriform CCleaner a annoncé que depuis le 15 août 2017, CCleaner et CCleaner Cloud, dans leurs versions 32 bits, contenait une portion de code malveillant fonctionnant en Backdoor (Porte dérobée) et permettant à un cybercriminel pilotant les machines des utilisateurs finaux, à partir d'un Botnet (réseau de machines zombies) depuis sa machine de C&C - Command and Control, de télécharger du code quelconque et d'en lancer l'exécution à distance.

On remarquera que le Certificat électronique d'authentification (signature numérique) est parfaitement légal et qu'il convient, encore une fois, de se souvenir qu'un tel certificat permet de s'assurer que l'émetteur est bien qui il prétend être (que Piriform est bien le bon Piriform). Un virus peut tout à fait légalement être affublé d'un Certificat électronique d'authentification (signature numérique) qui ne concerne pas du tout le code qu'aucune autorité ne peut certifier.

4 - Contournement provisoire
Dans un billet de blogue (cf, section Documentation), Talos explique le fonctionnement de l'attaque. Lorsque CCleaner.exe est exécuté, la portion de code malveillante rajoutée par les attaquants est également lancée. Après une dizaine de minutes, une tentative de connexion est effectuée pour tenter de télécharger et exécuter du code, depuis la porte dérobée ouverte sur le poste de l'utilisateur.

Afin de déterminer si une machine est infectée, il convient de vérifier les éléments suivants :
Si une version affectée (cf. section Systèmes affectés) est installée sur la machine, la présence de la clé de registre Windows HKLM\SOFTWARE\Piriform peut être vérifiée sur le système.
En cas de compromission la machine aura communiqué vers l'adresse ip 216.126.225.148_BAD_ ou vers l'un des domaines suivants :

ab6d54340c1a[.]com._BAD_
aba9a949bc1d[.]com._BAD_
ab2da3d400c20[.]com._BAD_
ab3520430c23[.]com._BAD_
ab1c403220c27[.]com._BAD_
ab1abad1d0c2a[.]com._BAD_
ab8cee60c2d[.]com._BAD_
ab1145b758c30[.]com._BAD_
ab890e964c34[.]com._BAD_
ab3d685a0c37[.]com._BAD_
ab70a139cc3a[.]com._BAD_

Si tel est le cas, la machine doit être considérée comme potentiellement compromise et restaurée à un état antérieur au 15 août 2017, ou de préférence complètement ré-imagée.

Une autre preuve de compromission est la présence de la clé de registre Windows HKLM\SOFTWARE\Piriform\Agomo.

L'éditeur Piriform indique ne pas avoir constaté une exécution de la porte dérobée et que l'infrastructure de contrôle du code malveillant a été démantelée.

Toutefois, le code malveillant inclus avec CCleaner a été signé avec la clé privée de l'éditeur. Cela indique une probable compromission interne impactant leur chaîne de publication. Une confiance faible doit être accordée au certificat utilisé par Piriform et tout élément signé par celui-ci (sha1 : f4bda9efa31ef4a8fa3b6bb0be13862d7b8ed9b0).

Il est possible de placer ce dernier dans la liste des certificats non autorisés de Windows (cf. section Documentation). Cette action n'est pas bloquante, l'utilisateur pourra exécuter le programme mais il verra s'afficher un message d'alerte.

De manière plus restrictive, on peut interdire l'utilisation de tout programme signé avec un certificat jugé indigne de confiance avec Applocker (cf. section Documentation).

5 - Documentation
Bulletin de sécurité Piriform du 18 septembre 2017
http://www.piriform.com/news/blog/2017/ ... dows-users

Billet de blogue Talos
http://blog.talosintelligence.com/2017/ ... lware.html

Billet de blogue Morphisec
http://blog.morphisec.com/morphisec-dis ... r-backdoor

Annonce Avast
https://blog.avast.com/update-to-the-cc ... y-incident

Configurer des racines de confiance et des certificats non autorisés
https://technet.microsoft.com/fr-fr/lib ... 83(v=ws.11).aspx

[pierre]

Le 20 septembre 2017, Talos a publié un second billet ( http://blog.talosintelligence.com/2017/ ... ncern.html ) détaillant l'attaque du point de vue du serveur de livraison de la charge utile.

Le code du serveur web récupéré montre un soucis de validation des cibles. Cela est renforcé par l'analyse des bases de données : sur les sept-cent-mille machines s'étant connectées au serveur entre le 12 et le 16 septembre 2017, seulement une vingtaine d'entre-elles auraient reçu et vraisemblablement exécuté la charge secondaire.

Talos fournit les condensats de cette charge et des fichiers malveillants téléchargés suite à son exécution :

• GeeSetup_x86.dll : dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83
  https://www.virustotal.com/#/search/dc9 ... 1aaccfdc83
  
• EFACli64.dll : 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f
  https://www.virustotal.com/#/search/128 ... 5733bb6f4f
  
• TSMSISrv.dll : 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902
  https://www.virustotal.com/#/search/07f ... f55cf34902
  
• f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
  https://www.virustotal.com/#/search/f0d ... f763e1292a

Le dernier condensat correspond à une porte dérobée dont l'utilité est de récupérer d'autres binaires malveillants. Celle-ci est stockée dans la base de registre de Windows, de manière encodée, dans les clés suivantes:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004

http://www.intezer.com/evidence-aurora- ... -ccleaner/
Ce billet de blog fait remarquer la convergence de code découverte par Kaspersky entre la backdoor injectée dans CCleaner et le code de l'attaque connue sous le nom d'"Operation Aurora", l'une des cyberattaques les plus sophistiquées qui soit (et qui existe depuis 2009).

Wikipedia
L'Opération Aurora est une importante cyberattaque chinoise, de type Advanced Persistent Threat, visant une trentaine d'entreprises principalement américaines, mise au jour le 12 janvier 2010 par Google, une des victimes. Les responsables ont été désignés comme agissant pour le compte du gouvernement chinois, même si celui-ci dément toute implication. Lorsque Google a annoncé son intention de quitter la Chine face à de tels agissements, l'affaire a pris la tournure d'un incident diplomatique entre la République populaire de Chine et les États-Unis. Certains voient en cet acte une démonstration de force de la Chine.

Finalement, Google cède aux pressions de Pékin pour conserver sa licence d'exploitation d'internet, tout en proposant aux utilisateurs une redirection manuelle identique à celle proposée antérieurement sur Hong-Kong.

Les révélations de télégrammes de la diplomatie américaine par WikiLeaks, publiées le 4 décembre 2010 par The Guardian et The New York Times, confirment que le gouvernement chinois est à l'origine de l'Opération Aurora.

On trouve également, dans le code de l'attaque téléchargée à travers la backdoor de CCleaner, une liste d'entreprises de très hautes technologies, ciblées, comme ce fut le cas lors de l''Opération Aurora de 2010.

Dans ce cas, ils ont probablement pu pirater le serveur de compilation de CCleaner afin d'y implanter ce malware. L'opération Aurora a débuté en 2009 et, voir le même acteur de malwares encore actif en 2017 pourrait signifier qu'il existe de nombreuses autres attaques, utilisant le même mécanisme, pilotées par le même groupe, que nous ne connaissons pas. Les attaques précédentes sont attribuées à un groupe chinois appelé PLA Unit 61398.

Si votre machine a été compromise, la meilleure solution est de totalement la réinitialiser.
A la limite, la restaurer à un état antérieur au 15 août 2017, mais reformater et réinitialiser, après avoir sauvegarder les fichiers de données, est la meilleure solution.

[bellafago]

Bonjour,

Un 2ème malware découvert sur CCleaner:
[Les experts en sécurité de Cisco Talos Intelligence confirment la découverte d'un second virus, qui serait passé à travers les mailles de la dernière mise à jour de CCleaner. Le point sur une situation qui évolue chaque jour. ]

Source et suite: CCM


@+

[pierre]

Bonjour, Bellafago,
Merci.

Cela correspond à ce que j'ai indiqué ici avant-hier vers minuit ( viewtopic.php?p=176498#p176498 )

...correspond à une porte dérobée dont l'utilité est de récupérer d'autres binaires malveillants.

Et la convergence avec l'attaque connue sous le nom d'"Operation Aurora", en 2010.

Il semble que l'attaque soit extrêmement ciblée (probable espionnage industriel, commercial, de brevets, etc.) et qu'une très courte liste de domaines soient la cible, les internautes lambda, comme toi et moi, servant de botnet ou de simple dégât collatéral inactif (mais la compromission est sophistiquée et délicate à éradiquée. Installée une version décontaminée de CCleaner n'emporte absolument pas la décontamination de la machine (les machines avec des Windows 32 bits, pas les 64 bits).

sur les sept-cent-mille machines s'étant connectées au serveur entre le 12 et le 16 septembre 2017, seulement une vingtaine d'entre-elles auraient reçu et vraisemblablement exécuté la charge secondaire.

Dans ce même message d'il y a 48 heures :

Si votre machine a été compromise, la meilleure solution est de totalement la réinitialiser.
A la limite, la restaurer à un état antérieur au 15 août 2017, mais reformater et réinitialiser, après avoir sauvegarder les fichiers de données, est la meilleure solution.

Cordialement, et merci pour ta vigilance et tes contributions.