Backdoor in CCleaner ermöglichte Fernzugriff – Update dringend empfohlen

Die Version 5.33.6162 von CCleaner enthält eine Backdoor, die bis vor kurzem den unbemerkten Remote-Zugriff ermöglichte. Mittlerweile soll die Gefahr gebannt sein; ein zügiges Update auf die aktuelle Version 5.34 ist dennoch mehr als ratsam.

In Pocket speichern vorlesen Druckansicht 385 Kommentare lesen
Backdoor in CCleaner: Update dringend empfohlen

(Bild: piriform.com)

Lesezeit: 3 Min.

Die 32-Bit-Variante des Säuberungs- und Optimierungstools CCleaner in Version 5.33.6162 sowie die Cloud-Version 1.07.3191 enthalten laut Hersteller Piriform eine zweistufige Backdoor, die Angreifern bis vor wenigen Tagen das Ausführen von Code aus der Ferne ermöglichte. Die unautorisierte Modifikation des Codes sei direkt auf Piriforms Servern erfolgt und von dort aus erstmals am 15. August (5.33.6162) bzw. am 24. August (Cloud-Version 1.07.3191) an die CCleaner-Nutzer verteilt worden. Der Hersteller sei am vergangenen Dienstag, dem 12. September anhand verdächtigen Netzwerk-Traffics auf die Modifikationen aufmerksam geworden.

Laut Piriform ist die Gefahr mittlerweile gebannt: Der als Kommandozentrale genutzte Server sei offline und weitere potenzielle Angriffsserver befänden sich außerhalb des Kontrollbereichs der Angreifer. Dennoch wird CCleaner-Nutzern dringend geraten, schnellstmöglich auf die aktuelle Version 5.34 upzudaten. Die Cloud-Version wurde bereits am 15. September mit einem automatischen Update versehen. Wer hinter der Server-Kompromittierung steckt, ist bislang noch unklar; Piriform hat die Strafverfolgungsbehörden hinzugezogen.

Piriforms Analysen zufolge verbarg sich der verschlüsselte Schadcode in der Initialisierungsroutine des CCleaners. Zu Beginn der Programmausführung wurde daraus eine DLL extrahiert, die in einem eigenen Thread im Kontext der Anwendung lief. Sie sammelte Informationen wie Computernamen, installierte Software, laufende Prozesse, MAC-Adressen sowie Admin-Privilegien und verschickte sie an einen entfernten Command-and-Control-Server.

Offenbar ist dieser Server auch in der Lage gewesen, eine weitere Payload durch die Backdoor auf den kompromittierten Rechner zu schleusen, heißt es bei Piriform. Allerdings habe das Piriform-Team keine Ausführung dieser zweiten Malware beobachten können und bezeichnete deren erfolgreiche Aktivierung als "höchst unwahrscheinlich".

Die Vorgehensweise der Angreifer, Server zu kompromittieren, um Code zu modifizieren und diesen anschließend als Update bequem an Nutzer verteilen zu lassen, erinnert stark an die Verbreitung des Schädlings NotPetya. Die damaligen Täter hatten ein Modul der – in der Ukraine beliebten – Steuersoftware MeDoc um Backdoor-Funktionen ergänzt, um es anschließend über die Update-Funktion der Software zu verbreiten.

In einer Stellungnahme vom heutigen Dienstag ergänzte AV-Hersteller Avast, der Piriform am 18. Juli übernommen hat, dass die erste Server-Kompromittierung bei Piriform möglicherweise schon am 3. Juli erfolgt sei. Avast beziffert die Gesamtzahl betroffener CCleaner-Nutzer auf 2,27 Millionen; aktuell nutzten noch etwa 730 000 die mit Schadcode präparierte Version. Avast riet in diesem Zusammenhang noch einmal zum Update. Eine vollständige Neuinstallation oder das Zurücksetzen der Systeme auf den Zustand vor dem Tag des verseuchten Updates sei jedoch nicht notwendig. Da 30 Prozent der CCleaner-Nutzer auch Avasts Sicherheitssoftware nutzten, habe das Unternehmen eine Verhaltens- und Traffic-Analyse dieser Systeme durchführen können. Dabei hätten sich keinerlei Hinweise darauf ergeben, dass auf den Systemen weiterer Schadcode ausgeführt worden sei.

[Update: 13:25 - 19.09.17] Die Meldung wurde um Zusatzinformationen aus einer aktuellen Pressemeldung von Avast ergänzt. (ovw)