S . G . D . S . N Agence nationale de la sécurité des systèmes d’information |
Paris, le 18 septembre 2017 No CERTFR-2017-ALE-013 |
Affaire suivie par :
CERT-FR
BULLETIN D’ALERTE DU CERT-FR
Objet : Présence de code malveillant dans
Piriform CCleaner
Une gestion de version détaillée se trouve à la fin de ce
document.
- exécution de code arbitraire à distance
- CCleaner v5.33.6162 sur windows
- CCleaner Cloud v1.07.3191 sur windows
Le 18 septembre 2017, un représentant de Piriform CCleaner a annoncé que depuis le 15 août
2017, CCleaner et CCleaner Cloud contenait une portion de code
malveillant permettant de télécharger une porte dérobée sur le
poste des utilisateurs.
Dans un billet de blogue (cf,
section Documentation), Talos explique le fonctionnement de
l’attaque. Lorsque CCleaner.exe est exécuté, la portion de code
malveillante rajoutée par les attaquants est également lancée.
Après une dizaine de minutes, une tentative de connexion est
effectuée pour tenter de télécharger et exécuter une porte
dérobée sur le poste de l’utilisateur.
Afin de déterminer si une machine est infectée, il convient de
vérifier les éléments suivants :
Si une version affectée (cf. section Systèmes affectés) est
installée sur la machine, la présence de la clé de registre
Windows HKLM\SOFTWARE\Piriform peut être vérifiée sur le
système.
En cas de compromission la machine aura communiqué vers l’adresse
ip 216.126.225.148_BAD_ ou vers l’un des domaines
suivants :
- ab6d54340c1a[.]com._BAD_
- aba9a949bc1d[.]com._BAD_
- ab2da3d400c20[.]com._BAD_
- ab3520430c23[.]com._BAD_
- ab1c403220c27[.]com._BAD_
- ab1abad1d0c2a[.]com._BAD_
- ab8cee60c2d[.]com._BAD_
- ab1145b758c30[.]com._BAD_
- ab890e964c34[.]com._BAD_
- ab3d685a0c37[.]com._BAD_
- ab70a139cc3a[.]com._BAD_
Si tel est le cas, la machine doit être considérée comme
potentiellement compromise et restaurée à un état antérieur au 15
août 2017, ou de préférence complètement ré-imagée.
Une autre preuve de compromission est la présence de la clé de
registre Windows HKLM\SOFTWARE\Piriform\Agomo.
L’éditeur Piriform indique ne pas avoir constaté une exécution
de la porte dérobée et que l’infrastructure de contrôle du code
malveillant a été démantelée.
Toutefois, le code malveillant inclus avec CCleaner a été
signé avec la clé privée de l’éditeur. Cela indique une probable
compromission interne impactant leur chaîne de publication. Une
confiance faible doit être accordée au certificat utilisé par
Piriform et tout élément signé par celui-ci (sha1 :
f4bda9efa31ef4a8fa3b6bb0be13862d7b8ed9b0)
- 18 septembre 2017
- version initiale.
2017-09-18
source : Les derniers documents du CERTA. http://cert.ssi.gouv.fr September 18, 2017 at 08:56PM