[QUELLE: https://www.heise.de/security/meldung/Backdoor-in-CCleaner-ermoeglichte-Fernzugriff-Update-dringend-empfohlen-3834851.html ]
Die Version 5.33.6162 von CCleaner enthält eine Backdoor, die bis vor kurzem den unbemerkten Remote-Zugriff ermöglichte. Mittlerweile soll die Gefahr gebannt sein; ein zügiges Update auf die aktuelle Version 5.34 ist dennoch mehr als ratsam.
Die 32-Bit-Variante des Säuberungs- und Optimierungstools CCleaner in Version 5.33.6162 sowie die Cloud-Version 1.07.3191 enthalten laut Hersteller Piriform eine zweistufige Backdoor, die Angreifern bis vor wenigen Tagen das Ausführen von Code aus der Ferne ermöglichte. Die unautorisierte Modifikation des Codes sei direkt auf Piriforms Servern erfolgt und von dort aus erstmals am 15. August (5.33.6162) bzw. am 24. August (Cloud-Version 1.07.3191) an die CCleaner-Nutzer verteilt worden. Der Hersteller sei am vergangenen Dienstag, dem 12. September anhand verdächtigen Netzwerk-Traffics auf die Modifikationen aufmerksam geworden.
Laut Piriform ist die Gefahr mittlerweile gebannt: Der als Kommandozentrale genutzte Server sei offline und weitere potenzielle Angriffsserver befänden sich außerhalb des Kontrollbereichs der Angreifer. Dennoch wird CCleaner-Nutzern dringend geraten, schnellstmöglich auf die aktuelle Version 5.34 upzudaten. Die Cloud-Version wurde bereits am 15. September mit einem automatischen Update versehen. Wer hinter der Server-Kompromittierung steckt, ist bislang noch unklar; Piriform hat die Strafverfolgungsbehörden hinzugezogen.
Schadcode sammelte heimlich Informationen
Piriforms Analysen zufolge verbarg sich der verschlüsselte Schadcode in der Initialisierungsroutine des CCleaners. Zu Beginn der Programmausführung wurde daraus eine DLL extrahiert, die in einem eigenen Thread im Kontext der Anwendung lief. Sie sammelte Informationen wie Computernamen, installierte Software, laufende Prozesse, MAC-Adressen sowie Admin-Privilegien und verschickte sie an einen entfernten Command-and-Control-Server.
Offenbar ist dieser Server auch in der Lage gewesen, eine weitere Payload durch die Backdoor auf den kompromittierten Rechner zu schleusen, heißt es bei Piriform. Allerdings habe das Piriform-Team keine Ausführung dieser zweiten Malware beobachten können und bezeichnete deren erfolgreiche Aktivierung als „höchst unwahrscheinlich“.
Die Vorgehensweise der Angreifer, Server zu kompromittieren, um Code zu modifizieren und diesen anschließend als Update bequem an Nutzer verteilen zu lassen, erinnert stark an die Verbreitung des Schädlings NotPetya. Die damaligen Täter hatten ein Modul der – in der Ukraine beliebten – Steuersoftware MeDoc um Backdoor-Funktionen ergänzt, um es anschließend über die Update-Funktion der Software zu verbreiten. (ovw)