[MAJ 26/09] CCleaner : Avast confirme 2,27 millions d’utilisateurs infectés réduits à 730 000 via une « approche proactive » (clean version) !

Mise à jour du 26 Septembre >>> « La base de données C2 MySQL comportait deux tables : l’une décrivant toutes les machines qui ont été notifiés au serveur et l’autre décrivant toutes les machines qui ont reçu le téléchargement en deuxième étape, dont les entrées avaient été datés entre le 12 septembre et le 16 septembre. Plus de 700 000 machines signalées au serveur C2 au cours de cette période, et plus de 20 machines ont reçu la charge utile de la deuxième étape« , explique Cisco (Talos Int.) dans son billet du 20 Septembre dernier. Concernant cette « deuxième étape » le billet du 25 Septembre d’Avast évoque plutôt 40 PC, pour la même période donnée (entre le 12 et 16 Septembre et, non plus, depuis le 15 Août dernier, date de déploiement de la version 5.33 de CCleaner) avec un nombre potentiel (pas nécessairement infecté) de l’ordre d’1 646 536 terminaux qui auraient pu communiquer et donc recevoir le potentiel malware (via CnC – nb exprimé en adresses MAC uniques). L’éditeur sécuritaire a publié un listing d’entreprises (avec nombre de PC infectés) concernés (dont Cisco) tout en notant brièvement que le listing lié à l’attaque backdoor ne comporte aucune entreprise basée en Chine, Russie ou encore en Inde… A suivre ! <<<

 

Source : CERT-FR – Bulletin d’alerte Piriform CCleaner et CCleaner Cloud du 18 Septembre 2017.


 

News d’origine du 20 Septembre 2017 :

 

Le 18 Septembre dernier, un malware a été détecté au sein d’une version du logiciel de nettoyage et d’optimisation de Piriform, CCleaner, par Cisco Systems. Si l’information a été vite relayée puis colmatée par l’éditeur, Avast a tenu à revenir en relativisant sur les chiffres rapportés par Cisco.

 

 

Petit retour en arrière : depuis le 15 Août dernier, selon le billet de Cisco-Talos sur son blog sécuritaire dédié, date à laquelle est sortie la version infectée par ce malware (5.33), jusqu’au 12 Septembre minimum, date à laquelle une version 5.34 ou supérieure a été déployée, un malware intégrant une porte dérobée en deux temps aurait / a permis de mettre la main sur le système de plus de 2 milliards d’utilisateurs : « Lors de l’installation de CCleaner 5.33, le binaire CCleaner 32 bits inclus comprenait également un programme malveillant qui présentait un algorithme de génération de domaine (DGA) ainsi que des fonctionnalités de commande et de contrôle (C2) codées en dur. Nous avons confirmé que cette version malveillante de CCleaner était hébergée directement sur le serveur de téléchargement de CCleaner depuis le 11 septembre 2017« , explique Talos Intelligence, en notant que le malware peut dérober des données personnelles (nom, processus-logiciel, listing logiciels / mise à jour, adresses MAC, informations complémentaires comme les droits administrateurs).

 

Plus troublant encore : la version incriminée – 5.33 – de CCleaner avait, selon l’expert sécuritaire, été formellement validée via les certificats numériques dédiés, estampillés par Piriform Ltd by Symantec (rachat récent du groupe en Juillet 2017 par Avast) et, poire sur le gâteau, avec une date de validité desdits certificats allant jusqu’en Octobre… 2018 ; un détail sensible sur lequel Avast a tenu à rebondir pour clarifier cet embourbement : « Beaucoup d’articles ont impliqué que 2 milliards d’utilisateurs ont été touchés avec un supplément de 5 millions par semaine. Cela vient du fait que depuis que CCleaner a démarré, il a été téléchargé 2 milliards de fois avec 5 millions par semaine en cours de téléchargement, tel que présenté sur leur site. Comme seulement deux produits de distribution plus petits (les versions 32 bit et cloud, Windows uniquement) ont été compromis, le nombre réel d’utilisateurs affectés par cet incident était de 2,27M. Et en raison de l’approche proactive pour mettre à jour le plus grand nombre possible d’utilisateurs, nous allons maintenant à 730 000 utilisateurs encore en utilisant la version affectée (5.33.6162). Ces utilisateurs doivent être mis à niveau même s’ils ne risquent pas d’être en danger car le malware a été désactivé du côté du serveur […] Nous soupçonnons fortement le fait que Piriform a été pris pour cible alors qu’il fonctionnait comme une société autonome avant l’acquisition Avast« , explique ainsi de manière détaillée Avast sur son billet du 19 Septembre.

Reste que si Piriform confirme bien l’intégration d’un programme malicieux au sein de CCleaner 5.33.6162 ainsi que la déclinaison Cloud du logiciel (v. 1.07.3191) il confirme, également, l’ouverture d’une enquête par Avast, qui s’engage à vérifier / effectuer plusieurs actions comme la migration en interne de l’environnement-système de Piriform vers sa nouvelle « maison-mère-système », Avast. Pour l’heure, reste bien évidemment, si ce n’est déjà fait, à mettre à jour votre version de CCleaner concernée, juste >< sur le site officiel francophone de filehippo.com en n’omettant pas, par prudence, de faire un scan complet du système depuis votre anti-virus… A veiller !

 

Source : Piriform.com – 18 Septembre 2017 – bulletin sécuritaire.