Elbukott a CCleaner is: tessék frissíteni!

A tisztítóprogram nem frissül automatikusan, így ha a kockázatos verzió fut a gépen, manuálisan kell eltávolítani, majd letöltetni a javított változatot.

A világszerte népszerű ingyenes karbantartóeszköz, a CCleaner gyártója, a londoni központú, július óta az Avast tulajdonában lévő Piriform ma elismerte, hogy biztonsági incidens áldozatai lettek, és így egyes CCleaner-verziók vírust tartalmaznak.

Hirdetés

Az esetről a Cisco Talos biztonsági kutatói számoltak be, akik leírják, hogy támadók hatoltak be a Piriform rendszerébe, és a hivatalosan a vállalat által letöltésre került szoftverekbe egy olyan malware-t rejtettek el, mely távoli irányítóeszközöket tartalmazott, és többek között kódfuttatást tesz lehetővé.

A CCleaner a vállalkozás vezető szoftvere, hetente kb. ötmillió letöltést számlálnak, a felvásárlás időpontjában a hivatalos adatok szerint körülbelül 130 millió aktív felhasználóval számoltak.

Felhasználók világszerte
[+]

A Piriform közleménye szerint a problémát szeptember 12-én fedezték fel, és két, augusztusban kiadott verzió érintett, a CCleaner v5.33.6162, illetve a CCleaner Cloud v1.07.3191, ezek használóinak azonnali frissítést javasolnak (az CCleaner esetében még aznap kiadták a megtisztított változatot, a CCleaner Cloud javítása szeptember 15-én jelent meg). Arról nem adtak ki információt, hogy hány felhasználó érintett az ügyben.

Működés
[+]

A szakértők szerint igen kifinomult támadás érte a Piriform rendszerét, hasonló a NotPetya támadáshoz, a fertőzés terjesztése pedig akadálytalan volt, mivel a szoftver megfelelő tanúsítvánnyal rendelkezik. A behatolók minden valószínűség szerint hozzáfértek ahhoz a számítógéphez/számítógépekhez, melyen a szoftver kódját írják, módosítják. A kutatók szerint még igen korai fázisban fedezték fel a fertőzést, amikor a hackerek még az információgyűjtés szakaszában voltak, és úgy vélik, kódfuttatásra még nem használták ki a lehetőséget.

A Piriform azt is közölte, hogy az USA hatóságainak segítségével szeptember 15-én leállítottak egy szervert, ahová a malware adatokat küldött.

Azóta történt

Előzmények