Backdoor in CCleaner!

Die 32-Bit-Variante des Säuberungs- und Optimierungstools CCleaner in Version 5.33.6162 sowie die Cloud-Version 1.07.3191 enthalten laut Hersteller Piriform eine zweistufige Backdoor, die Angreifern bis vor wenigen Tagen das Ausführen von Code aus der Ferne ermöglichte. Die unautorisierte Modifikation des Codes sei direkt auf Piriforms Servern erfolgt und von dort aus an die CCleaner-Nutzer verteilt worden. Der Hersteller sei am vergangenen Dienstag, dem 12. September anhand verdächtigen Netzwerk-Traffics auf die Modifikationen aufmerksam geworden.

Laut Piriform ist die Gefahr mittlerweile gebannt: Der als Kommandozentrale genutzte Server sei offline und weitere potenzielle Angriffsserver befänden sich außerhalb des Kontrollbereichs der Angreifer. Dennoch wird CCleaner-Nutzern dringend geraten, schnellstmöglich auf die aktuelle Version 5.34 upzudaten. Die Cloud-Version wurde bereits am 15. September mit einem automatischen Update versehen. Wer hinter der Server-Kompromittierung steckt, ist bislang noch unklar.

Piriforms Analysen zufolge verbarg sich der verschlüsselte Schadcode in der Initialisierungsroutine des CCleaners. Zu Beginn der Programmausführung wurde daraus eine DLL extrahiert, die in einem eigenen Thread im Kontext der Anwendung lief. Sie sammelte Informationen wie Computernamen, installierte Software, laufende Prozesse, MAC-Adressen sowie Admin-Privilegien und verschickte sie an einen entfernten Command-and-Control-Server.

Offenbar ist dieser Server auch in der Lage gewesen, eine weitere Payload durch die Backdoor auf den kompromittierten Rechner zu schleusen. Allerdings habe das Piriform-Team keine Ausführung dieser zweiten Malware beobachten können und bezeichnete deren erfolgreiche Aktivierung als „höchst unwahrscheinlich“.

Die Vorgehensweise der Angreifer, Server zu kompromittieren, um Code zu modifizieren und diesen anschließend als Update bequem an Nutzer verteilen zu lassen, erinnert stark an die Verbreitung des Schädlings NotPetya. Die damaligen Täter hatten ein Modul in der Steuersoftware MeDoc um Backdoor-Funktionen ergänzt, um es anschließend über die Update-Funktion der Software zu verbreiten.

In einer Stellungnahme ergänzte AV-Hersteller Avast, der Piriform am 18. Juli übernommen hatte, dass die erste Server-Kompromittierung bei Piriform möglicherweise schon am 3. Juli erfolgt sei. Avast beziffert die Gesamtzahl betroffener CCleaner-Nutzer auf 2,27 Millionen; aktuell nutzten noch etwa 730 000 die mit Schadcode präparierte Version. Avast riet in diesem Zusammenhang noch einmal zum Update. Eine vollständige Neuinstallation oder das Zurücksetzen der Systeme auf den Zustand vor dem Tag des verseuchten Updates sei jedoch nicht notwendig. Da 30 Prozent der CCleaner-Nutzer auch Avasts Sicherheitssoftware nutzten, habe das Unternehmen eine Verhaltens- und Traffic-Analyse dieser Systeme durchführen können. Dabei hätten sich keinerlei Hinweise darauf ergeben, dass auf den Systemen weiterer Schadcode ausgeführt worden sei.

2017-09-19T14:28:22+00:00