AVAST-Stellungnahme zur CCleaner-Backdoor

Der Sicherheitsanbieter AVAST hat jetzt Stellung zum Fall der über einen Monat im Tool CCleaner enthaltenen Backdoor Stellung genommen. Hier einige Informationen.


Anzeige

Die Original Stellungnahmen von AVAST ist in Englisch und findet sich hier (danke an Leon für den Link). Nachfolgend einige Auszüge in Deutsch, was man wissen sollte.

AVAST schreibt, dass kurz nach der ursprünglichen Ankündigung des Hacks eine Reihe von Presseberichten veröffentlicht wurden, aber viele Details über das Geschehene und die Auswirkungen auf die Nutzer wurden vermutet. AVAST möchte in der Stellungnahme diese Gelegenheit nutzen, um so viel wie möglich an Fehlinformationen zu korrigieren.

Hack vor oder kurz nach der Piriform-Übernahme

Avast erwarb Piriform, den Hersteller von CCleaner, am 18. Juli 2017. Hintergrund war, weil man im Piriform CCleaner ein großartiges Produkt sah. Was AVAST nicht wusste, war, dass die Hacker zu diesem Zeitpunkt bereits am Werk waren, um die Piriform-Systeme zu hacken. Der Angriff hat möglicherweise bereits am 3. Juli begonnen, denn der Server wurde bereits 2017 bereitgestellt und das SSL-Zertifikat für die jeweilige https-Kommunikation trug einen Zeitstempel vom 3. Juli 2017.

AVAST vermutet daher stark, dass Piriform als eigenständiges Unternehmen Ziel des Hacks war, da die Übernahme von AVAST damals noch unbekannt war. AVAST gibt an, dass das Problem von ihnen innerhalb von ca. 72 Stunden nach der Entdeckung behoben wurde, ohne dass Piriform-Kunden Schaden erlitten.

Historie des Angriffs und weitere Details

Die kompromittierte Version von CCleaner wurde am 15. August veröffentlicht und blieb für vier Wochen unbemerkt von jeder Sicherheitsfirma, was, nach AVASTs Meinung, die Raffinesse des Angriffs unterstreicht. AVAST schreibt, dass es nach deren Meinung eine gut vorbereitete Operation war. AVAST wurde bereits vor Cisco Talos von der Sicherheitsfirma Morphisec kontaktiert.

Am 12. September, 8:35 Uhr wurde Avast zum ersten Mal von Morphisec über den vermuteten Hack informiert. AVAST glaubt, dass Morphisec auch Cisco benachrichtigt hat. Nach Erhalt dieser Meldung wurde bei AVAST unverzüglich eine Untersuchung eingeleitet, und bis zum Eingang der Cisco-Meldung (14. September, 7:25 Uhr PT) hatten die Sicherheitsspezialisten die Bedrohung bereits gründlich analysiert, ihr Risikoniveau bewertet und parallel dazu in den USA mit den Strafverfolgungsbehörden zusammengearbeitet, um die eigentliche Ursache des Problems zu untersuchen.

Im Anschluss daran wurde der CnC-Server am 15. September um 9:50 Uhr PT (in Kooperation mit den Strafverfolgungsbehörden) heruntergefahren. Während dieser Zeit hat das Cisco Talos-Team, das parallel an diesem Thema gearbeitet hat, die sekundären DGA-Domains registriert, bevor AVST dazu eine Chance hatte. Mit diesen beiden Aktionen wurde der Server heruntergefahren und die Bedrohung effektiv beseitigt, da der Angreifer die Fähigkeit verlor, die Nutzlast zu liefern.

Während dieser Zeit arbeiteten auch Piriform und AVAST an der Bereitstellung einer schnellen Lösung für CCleaner-Benutzer. Zuerst stellte AVAST sicher, dass die aktuell versendete Version (5.34) und frühere Versionen die Bedrohung nicht enthielten (das war glücklicherweise nicht der Fall, wie eine Untersuchung ergab).


Anzeige

Als nächstes veröffentlichte AVAST/Piriform eine Version 5.33.6163, die identisch zu 5.33.6162 ist, jedoch mit entfernter Backdoor. Diese Version wurde als automatisches Update für CCleaner-Benutzer verteilt (jedenfalls dort, wo es möglich war). Die verbleibenden Benutzer wurden so schnell als möglich benachrichtigt und gebeten, auf die neueste Version des Produkts zu aktualisieren (leider konnte Piriform die kostenlosen CCleaner-Installationen nicht automatisch aktualisieren, da die kostenlose Version keine Auto-Update-Funktionalität enthält).

Ist eine Neuinstallation von Windows erforderlich?

Einige Medienberichte deuten darauf hin, dass die betroffenen Systeme vor dem 15. August in einen Zustand vor dem 15. August wiederhergestellt oder neu installiert bzw. wieder aufgebaut werden mussten. Die Leute von AVAST halten das nicht für notwendig. Ungefähr 30% der CCleaner-Benutzer verwenden auch die AVAST-Sicherheitssoftware, mit der der Anbieter Verhaltens-, Verkehrs- und Datei-/Registrierungsdaten von diesen Computern analysieren kann. Aufgrund der Analyse dieser Daten gehen die Leute von AVAST davon aus, dass die zweite Stufe der Nutzlast nie aktiviert wurde, d. h. der einzige bösartige Code, der auf den Rechnern der Kunden vorhanden war, war der in der Binärdatei ccleaner. exe eingebettete Code.

Eine Wiederherstellung der betroffenen Maschinen auf den Stand vor dem 15. August halten wir daher für überflüssig. Nach einer ähnlichen Logik raten Sicherheitsunternehmen ihren Kunden in der Regel nicht, ihre Maschinen neu zu formatieren, nachdem eine Schwachstelle bei der Remotecodeausführung auf ihrem Computer identifiziert wurde.

Kunden wird empfohlen, auf die neueste Version von CCleaner zu aktualisieren, da diese den Backdoor-Code von ihren Systemen entfernt. CCleaner 5.33-Benutzer erhalten ab sofort eine Benachrichtigung, dass das Update durchgeführt werden soll.

Getroffene Maßnahmen

AVAST schreibt, dass sie sich des Ernstes der Situation bewusst seien und bedauert die Unannehmlichkeiten, die Piriform-Kunden erleben. AVAST übernimmt die Verantwortung für den Verstoß und hat folgende Maßnahmen und Vorsichtsmaßnahmen getroffen:

  • Der C&C-Server wurde heruntergefahren, bevor Kunden Schaden erlitten haben.
  • AVAST arbeitete sofort mit der Polizei zusammen, um die Quelle des Angriffs zu identifizieren.
  • AVAST hat divers Schritte unternommen, um die Software bei Kunden zu aktualisieren.
  • Es wurde der gesamte Vorgang in einem Blog-Beitrag offengelegt (nachdem die Erlaubnis dazu vorlag).
  • Die Piriform Build-Umgebung wurde auf die AVASTt-Infrastruktur migriert und der Sicherheitsanbieter ist dabei, das gesamte Piriform-Personal auf das interne IT-System von Avast zu verlagern.

AVAST plant, weitere Updates dazu herauszugeben. Zudem wird das Unternehmen diesen unglückseligen Zwischenfall ordnungsgemäß untersuchen und alle möglichen Maßnahmen ergreifen, um sicherzustellen, dass es nie wieder vorkommt.

Damit sind meine Spekulationen im heutigen Artikel PUP: Kommt AVAST im Beipack mit Piriform CCleaner? bezüglich 'steckt AVAST selbst dahinter, um Daten zu sammeln' gegenstandslos. Die Details zur Backdoor bei morphisec.com hatte ich im Blog-Beitrag Autsch: CCleaner als Malware-Schleuder ja bereits verlinkt.

Ähnliche Artikel:
Digitales Schlangenöl: Registry-Cleaner, Driver-Updater & PUPs
Autsch: CCleaner als Malware-Schleuder
PUP: Kommt AVAST im Beipack mit Piriform CCleaner?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu AVAST-Stellungnahme zur CCleaner-Backdoor

  1. Dekre sagt:

    Ich bin da etwas misstrauisch was AVAST da von sich gibt. Ich habe das ganze heute morgen auch gelesen mit Infos im Blog bei Malwarebytes und im Malwarebytes-Forum sind auch diese Links.

    Bisher hat heute ca. 13 Uhr selbst die gesamte AVG/Avast-Antivirensoftware das noch nicht erkannt. Das ist schon ein Skandal. Avast hätten eigentlich die ersten sein müssen und das weit vor dem 18.09.2019! Ich habe gerade noch einmal das auf Virustoral überprüft und da ist wohl Avast und AVG als Erkenner nun dabei als "Win32:TlsHack-A [Trj]". Nicht erkennen tut es (noch) Avast-mobil, neuer Stand 14.50 Uhr heute.

    Avast hätte spätestens am 12.09.2019 das durch Ihre AV-Software erkennen lassen müssen!

    Die ccsetup533.exe wurde nach vollzogenem Kauf von Piriform freigeschaltet. Wer nur Rechner mit 64-Bit hat und auch CCleaner (Kaufvariante) mit 64-bit immer über die Updatefunktion aktualisiert, wird das auch Problem auch nicht haben, trotz ccleaner.exe für 32-bit, da nicht aktiv.

    Ich habe heute noch einen dritten 64-bit-Rechner mit ebenfalls installierer Kaufversion von CCleaner mit Malwarebytes eine Standardprüfung ausgeführt und da hat es dann die 32-bit-exe auch erkannt.

    Wenn man auf die Avast/ AVG-Seiten geht, wird mit kritischem Blick feststellen, das da vieles Merkwürdiges steht.

  2. Paul Brusewitz sagt:

    Für CCleaner auch noch Geld ausgegeben. Aaaargh!

    Wer macht denn sowas?

    Geld für Software die weder die Geschwindigkeit des PCs erhöht, noch die Sicherheit und auch die Bedienbarkeit nicht verbessert .

    Eine effektive Bereinigungsfunktion bringt Windows schon mit.

    Bisher habe ich den Eindruck, dass ausgerechnet die Leute mit der wenigsten Ahnung von PCs garantiert CCleaner installiert haben und sich damit ihr System nach und nach zerschießen (insbesondere Office-Installationen).

    Das ist ja kostenlos schon nicht besonders schlau aber …

    MfG P.B.

    • Dekre sagt:

      Man zahlt nur einmal und keine Diskussion bitte zu diesem strittigen Feld. Das führt an das Problem mächtig vorbei.

      Heute steht auf heise.de, dass Firefox die lokale Datenbanken nicht löscht. Das ist mir auch mal aufgefallen. Mit der sog. Kaufvariante von CCleaner kann man das Einstellen und dann hat man das Problem nicht. Das ist nämlich ein nicht zu unterschätzendes Sicherheitsproblem mit Malware, PUP etc. Und dort kann man dann genau festlegen, was nach Schließen des Browsers passiert und eben was gelöscht wird. Das muss man aber wissen und selbst entscheiden. Die Browsereinstellungen sind nämlich ein Witz. Da kann man zig-mal festlegen, dass man das nicht will und trotzdem ist es drauf.

      @Paul, dumm ist der der Software nicht zu verwenden weiß. Mit den Windows-Bordmitteln kann man sich auch ganz schnell seinen PC zerschießen. Es gibt von Avast auch ein sog Tune-Up-Ding, damit kann man sich ganz schnell alles kaputt machen. CCleaner ist (bisher noch) vorrangig ein Analyseprogramm und kein Löschprogramm.

  3. Ralf Lindemann sagt:

    Danke für die ausführlichen Informationen! – Auf den ersten Blick erscheint die Darstellung von AVAST plausibel und das Bemühen um Aufklärung glaubhaft. Bei den früheren Eigentümern von Piriform dürften dagegen die Sektkorken knallen: Die haben die Software-Klitsche zum richtigen Zeitpunkt an AVAST weitergereicht … ;-)

  4. Ingo sagt:

    Einige Punkte umgeht man bei Avast/Piriform bisher weiterhin sehr konsequent: was wurde dort alles gehackt und wie kamen die Hacker überhaupt so weit? Die Hacker haben unbemerkt interne Systeme von Piriform unter Kontrolle gehabt und konnten Programme vor ihrem offiziellen Release manipulieren. Dazu muss man an sich schon ziemlich tief in den Interna eines Unternehmens hängen.
    Ob man nicht andere Piriform Software auch kompromittiert hat und wieso man sicher ist, dass die Hacker jetzt keinen Zugriff mehr haben, ist auch bisher unbekannt.

    Man schreibt da Worte, die beruhigen sollen, für mich aber teilweise ziemlich lächerlich klingen. Beispiel: "The compromised version of CCleaner was released on August 15 and went undetected by any security company for four weeks, underscoring the sophistication of the attack."
    Dass das keiner so schnell entdeckt hat, spricht also m.E. nicht für die Raffinesse des Angriffs, sondern eher gegen die versammelte "Sicherheitssoftware". Die eigentliche Malware-Komponente, die dort integriert wurde, ist schließlich nicht neu.

    Anderes Beispiel: "We strongly suspect that Piriform was being targeted while they were operating as a standalone company, prior to the Avast acquisition." Damit möchte man wohl Schuld von sich weisen. Nach dem Motto "ja, das war früher, jetzt ist alles besser und überhaupt ist bei Avast alles sicher". Man hat es ja auch nach der Akquisition nicht bemerkt – ist also nicht wirklich ein Punkt für Avast.

    Klingt alles weiterhin wirklich nicht vertrauenswürdig.

  5. Michael Fasbender sagt:

    Ich benutze CCleaner Free schon seit etlichen Jahren auf den verschiedensten Systemen (aktuell auf Win 7 & 8 64bit Systemen und auch auf Android) und ich habe damit noch NIE ein System zerschossen und ich kenne sonst auch niemanden der dies damit geschafft hat! Ich finde es blödsinnig generell davon abzuraten, zumal Windows schon von Hause aus die Eigenschaft hat sich selbst ordentlich zuzumüllen. Und wer sich damit nicht auskennt, kann sein System auch ohne solch einer Tuning/Cleaning Software zerschießen. Kenne einige Fälle wo mal ordentlich mit dem Windows-eigenen Registry Editor herum gespielt wurde und Windows danach darüber etwas "beleidigt" war. Programme wie TuneUp Utilities und jv16 PowerTools sind da weitaus gefährlicher für Laien. Und diese verseuchte CCleaner Version ist offenbar bei mir überhaupt nicht angekommen, denn weder Avast noch Malwarebytes Antimalware haben zu irgendeiner Zeit Alarm geschlagen und der fragliche Registry Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo existiert bei mir auch nicht. Ich weiß nicht ob es darin lag das hauptsächlich 32bit Systeme involviert waren oder ob dies alles wieder mal viel Wind um nichts war.

  6. Frank Schenk sagt:

    Die mit dem Datum, dem 15. August scheint zu stimmen. Denn in einem Forum wurde darüber schon lebhaft diskutiert, bevor das Leak überhaupt an die Öffentlichkeit drang.
    Dort wird durch den Ccleaner , von verbogenen Netzwerktreibern gesprochen.
    https://www.pc-sicherheit.net/viewtopic.php?p=113044#p113044

  7. Smyth sagt:

    Heute (20.9.) wurde von Piriform der CCleaner in Version 5.35 verröffentlicht.

  8. Harald Vonhoegen sagt:

    Bereits mehrfach ist mir heute aufgefallen, dass nach der (Neu-) Installation von CCleaner Free – auch nach Registrierung als Prof.-Version – in der Version 5.35.6210 (64 Bit) Adaware PUP-Software feststellt. Hat man die PUP-Software mit Hilfe von Adaware gelöscht, ist auch der CCleaner deinstalliert. Installiert man den CCleaner wieder, ist auch die PUP-Software wieder da …

    Von einer Lösung des Problems kann also überhaupt nicht die Rede sein!

  9. Harald Vonhoegen sagt:

    AdwCleaner 7.021 findet "PUP.Optional.Downware". Wird letzteres mittels AdwCleaner gelöscht, so ist CCleaner vom System verschwunden … usw. auch heute wieder!

    • Dekre sagt:

      Also auf meinen PCs findet AdwCleaner nichts. Ab gestern abend gibt es auch die Version AdwCleaner 7.0.3.0 Daran kann es aber nicht liegen, denn ich habe vor 10 Tagen auch mit AdwCleaner 7.0.2.1 eine Überprüfung gemacht.
      Dann muss es was anderes bei Dir sein. Ich habe auch gerade im Forum von Malwarebytes für den AdwCleaner nachgeschaut. Da taucht das Problem auch nicht auf. Ich habe auch noch einmal die CCleaner.exe und CCleaner64.exe auf Virustotal hochgeladen = ohne Befund.
      Es muss was anderes bei Dir sein. Die Installations-exe weist mit ESET ein PUP-Fund aus. Das ist "Win32/Bundled.Toolbar.Google". Das ist aber nur in den Installationsdateien bei Piriform und findet nur ESET und ist bekannt.

  10. ralf sagt:

    HEISE:
    "Fast ein halbes Jahr hatten Unbekannte Zugang zum Firmennetz von Avast, gesteht der Hersteller von Antiviren-Software ein."
    https://www.heise.de/security/meldung/Einbruch-bei-AV-Hersteller-Avast-4562622.html

    • Ralf Lindemann sagt:

      Interessanter Link. – Erwähnen sollte man die Pointe des heise-Artikels. Das Ziel der Attacke auf das Firmennetz von Avast sei gewesen, „erneut einen Trojaner in das Tool CCleaner einzuschleusen. Das will jedoch Avasts Sicherheitsteam diesmal verhindert haben …" – Wer's glaubt …

  11. Bediener 1 sagt:

    Die Steigerung von Schlangenöl ist Kriechöl WD-… geht durch Rost or Rust in Hard- und Software einschließlich den Reissäcken die in China umfallen oder neuerdings auch auf Servermainboards aufgelötet werden. Reiskörner als chips or fuses or fuses in chips, active or passive components???!!! Da hilft nur Ballistol mit BSI Zertifikat ( biologisch abbaubar) für die quietschenden Tamper Switches. Die sollen die Ohren ja nicht stören
    beim HiFi Genuss aus teuren Lautsprechern.
    Der wahre Alptraum ist die supply chain attack, da hilft halt nix, weil whitelisted!

Schreibe einen Kommentar zu Ralf Lindemann Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.