CERTFR-2017-ALE-013 : Présence de code malveillant dans Piriform CCleaner (18 septembre 2017)

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d’information

République Française Paris, le 18 septembre 2017
No CERTFR-2017-ALE-013

Affaire suivie par :

CERT-FR

BULLETIN D’ALERTE DU CERT-FR

Objet : Présence de code malveillant dans
Piriform CCleaner

Tableau 1: Gestion du document
Référence CERTFR-2017-ALE-013
Titre Présence de code malveillant dans
Piriform CCleaner
Date de la première version 18 septembre 2017
Date de la dernière version
Source(s) Bulletin de sécurité Piriform du
18 septembre 2017
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce
document.

  • exécution de code arbitraire à distance
  • CCleaner v5.33.6162 sur windows
  • CCleaner Cloud v1.07.3191 sur windows

Le 18 septembre 2017, un représentant de Piriform CCleaner a annoncé que depuis le 15 août
2017, CCleaner et CCleaner Cloud contenait une portion de code
malveillant permettant de télécharger une porte dérobée sur le
poste des utilisateurs.

Dans un billet de blogue (cf,
section Documentation), Talos explique le fonctionnement de
l’attaque. Lorsque CCleaner.exe est exécuté, la portion de code
malveillante rajoutée par les attaquants est également lancée.
Après une dizaine de minutes, une tentative de connexion est
effectuée pour tenter de télécharger et exécuter une porte
dérobée sur le poste de l’utilisateur.

Afin de déterminer si une machine est infectée, il convient de
vérifier les éléments suivants :
Si une version affectée (cf. section Systèmes affectés) est
installée sur la machine, la présence de la clé de registre
Windows HKLM\SOFTWARE\Piriform peut être vérifiée sur le
système.
En cas de compromission la machine aura communiqué vers l’adresse
ip 216.126.225.148_BAD_ ou vers l’un des domaines
suivants :

  • ab6d54340c1a[.]com._BAD_
  • aba9a949bc1d[.]com._BAD_
  • ab2da3d400c20[.]com._BAD_
  • ab3520430c23[.]com._BAD_
  • ab1c403220c27[.]com._BAD_
  • ab1abad1d0c2a[.]com._BAD_
  • ab8cee60c2d[.]com._BAD_
  • ab1145b758c30[.]com._BAD_
  • ab890e964c34[.]com._BAD_
  • ab3d685a0c37[.]com._BAD_
  • ab70a139cc3a[.]com._BAD_

Si tel est le cas, la machine doit être considérée comme
potentiellement compromise et restaurée à un état antérieur au 15
août 2017, ou de préférence complètement ré-imagée.

Une autre preuve de compromission est la présence de la clé de
registre Windows HKLM\SOFTWARE\Piriform\Agomo.

L’éditeur Piriform indique ne pas avoir constaté une exécution
de la porte dérobée et que l’infrastructure de contrôle du code
malveillant a été démantelée.

Toutefois, le code malveillant inclus avec CCleaner a été
signé avec la clé privée de l’éditeur. Cela indique une probable
compromission interne impactant leur chaîne de publication. Une
confiance faible doit être accordée au certificat utilisé par
Piriform et tout élément signé par celui-ci (sha1 :
f4bda9efa31ef4a8fa3b6bb0be13862d7b8ed9b0)

18 septembre 2017
version initiale.

CERT-FR
2017-09-18

source : Les derniers documents du CERTA. http://cert.ssi.gouv.fr September 18, 2017 at 08:56PM