Backdoor in CCleaner ermöglichte Fernzugriff – Update dringend empfohlen

19.09.2017 | Computer, Sicherheit

 [QUELLE: https://www.heise.de/security/meldung/Backdoor-in-CCleaner-ermoeglichte-Fernzugriff-Update-dringend-empfohlen-3834851.html ]
Olivia von Westernhagen

(Bild: piriform.com)

Die Version 5.33.6162 von CCleaner enthält eine Backdoor, die bis vor kurzem den unbemerkten Remote-Zugriff ermöglichte. Mittlerweile soll die Gefahr gebannt sein; ein zügiges Update auf die aktuelle Version 5.34 ist dennoch mehr als ratsam.

Die 32-Bit-Variante des Säuberungs- und Optimierungstools CCleaner in Version 5.33.6162 sowie die Cloud-Version 1.07.3191 enthalten laut Hersteller Piriform eine zweistufige Backdoor, die Angreifern bis vor wenigen Tagen das Ausführen von Code aus der Ferne ermöglichte. Die unautorisierte Modifikation des Codes sei direkt auf Piriforms Servern erfolgt und von dort aus erstmals am 15. August (5.33.6162) bzw. am 24. August (Cloud-Version 1.07.3191) an die CCleaner-Nutzer verteilt worden. Der Hersteller sei am vergangenen Dienstag, dem 12. September anhand verdächtigen Netzwerk-Traffics auf die Modifikationen aufmerksam geworden.

Laut Piriform ist die Gefahr mittlerweile gebannt: Der als Kommandozentrale genutzte Server sei offline und weitere potenzielle Angriffsserver befänden sich außerhalb des Kontrollbereichs der Angreifer. Dennoch wird CCleaner-Nutzern dringend geraten, schnellstmöglich auf die aktuelle Version 5.34 upzudaten. Die Cloud-Version wurde bereits am 15. September mit einem automatischen Update versehen. Wer hinter der Server-Kompromittierung steckt, ist bislang noch unklar; Piriform hat die Strafverfolgungsbehörden hinzugezogen.

Schadcode sammelte heimlich Informationen

Piriforms Analysen zufolge verbarg sich der verschlüsselte Schadcode in der Initialisierungsroutine des CCleaners. Zu Beginn der Programmausführung wurde daraus eine DLL extrahiert, die in einem eigenen Thread im Kontext der Anwendung lief. Sie sammelte Informationen wie Computernamen, installierte Software, laufende Prozesse, MAC-Adressen sowie Admin-Privilegien und verschickte sie an einen entfernten Command-and-Control-Server.

Offenbar ist dieser Server auch in der Lage gewesen, eine weitere Payload durch die Backdoor auf den kompromittierten Rechner zu schleusen, heißt es bei Piriform. Allerdings habe das Piriform-Team keine Ausführung dieser zweiten Malware beobachten können und bezeichnete deren erfolgreiche Aktivierung als „höchst unwahrscheinlich“.

Die Vorgehensweise der Angreifer, Server zu kompromittieren, um Code zu modifizieren und diesen anschließend als Update bequem an Nutzer verteilen zu lassen, erinnert stark an die Verbreitung des Schädlings NotPetya. Die damaligen Täter hatten ein Modul der – in der Ukraine beliebten – Steuersoftware MeDoc um Backdoor-Funktionen ergänzt, um es anschließend über die Update-Funktion der Software zu verbreiten. (ovw)

Effizienter IT-Support durch unser technisches Backoffice

Erhalten Sie effiziente IT-Service durch unser technisches Backoffice – Ihr zuverlässiger IT-Dienstleister für IT-Support, Infrastruktur, Sicherheit und Wartung. Profitieren Sie von unserer technischen Hotline, unseren Lösungen und einer sehr guten Reaktionszeit für minimale Ausfallzeiten und maximale Kundenzufriedenheit.

Netzleiter & Techiota: 2 Partner für IT Service und maßgeschneiderte Web-Lösungen

Die Netzleiter GmbH & Co. KG ist mehr als nur ein etabliertes IT Systemhaus – wir sind Ihr Partner für umfassende IT-Lösungen. Mit der unabhängigen Ausgründung Techiota haben wir unser Profil geschärft und die Schwerpunkte neu definiert, um unser Serviceangebot...

Lithium-Ionen-Akku richtig behandeln: Tipps für maximale Lebensdauer

Erfahren Sie, wie Sie Ihren Lithium-Ionen-Akku richtig behandeln, um seine Lebensdauer zu maximieren. Erfahren Sie, warum die richtige Handhabung wichtig ist und erhalten Sie praktische Tipps zum Aufladen und zur Vermeidung von Überhitzung.

Passwortmanager für Unternehmen: Pleasant Password-Server 2023

Erfahren Sie, warum die Verwendung eines Passwortmanagers unerlässlich ist und wie dieser Ihre Passwortsicherheit verbessern kann. Lesen Sie unseren Artikel von Netzleiter und entdecken Sie, wie Sie durch die Verwendung von sicheren Passwörtern, Master-Passwort und Datenverschlüsselung Ihr Unternehmen vor unbefugtem Zugriff schützen können. Pleasant Passwortmanager mit Netzleiter

Cybersicherheit: EU verpflichtet Unternehmen zu höherem Schutz vor Cyberangriffen

Cybersicherheit ist ein wichtiger Faktor im digitalen Zeitalter. Als IT-Dienstleister bietet Netzleiter umfassende Lösungen und Dienstleistungen für Unternehmen und Organisationen, um ihre Daten und Systeme sicher zu schützen. Unser Team verfügt über fundierte Fachkenntnisse und jahrelange Erfahrung im Bereich der Cybersicherheit, um Ihnen ein Höchstmaß an Schutz und Sicherheit zu bieten. Kontaktieren Sie uns noch heute, um mehr darüber zu erfahren, wie wir Ihnen helfen können, Ihre Cybersicherheit zu verbessern.

Candis: Die digitale Rechnungserfassung und Freigabe für Unternehmen

Candis revolutioniert die Buchhaltung für Unternehmen. Mit der digitalen Rechnungsfreigabe, OCR-Erkennung und automatischem Import wird die Buchhaltung einfach, schlank und effektiv. Netzleiter, Ihr Experte für Digitalisierung, unterstützt Sie bei der Umsetzung.

iPhone fragt nach 6-stelligen Kennwort, den ich nie eingestellt habe? So geht’s

Ihr iPhone fragt nach 6-stelligen Kennwort? Diesen Passcode haben Sie nie eingestellt ? Geraten Sie nicht in Panik! Ihr iPhone hat den Code einfach um die letzte Ziffer um zwei Ziffer verlängert.

Qualifizierte elektronische Signatur (QES): Ihr Einstieg in die digitale Signatur

Die qualifizierte elektronische Signatur ist in der EU-Verordnung eIDAS beschrieben. Wir beraten Sie gerne zu diesem Thema. Nutzen Sie auch die Möglichkeit einer staatlichen Förderung um die digitalen Signaturen in Unternehmen einzuführen.

Passwörter der Zukunft

Ein Passwortmanager ist ein Tool, das es ermöglicht, alle Passwörter sicher an einem Ort zu speichern und mit einem Master-Passwort auf sie zuzugreifen. Apple, Microsoft und Google haben neue Standards für Passwörter eingeführt, um die Sicherheit zu verbessern, wie Face ID, Touch ID, „passwordless phone sign-in“ und Google-Kontoschlüssel. Der FIDO Standard soll die Passwortverwendung reduzieren, indem biometrische Authentifizierung und sichere Hardware-Tokens verwendet werden.

Künstliche Intelligenz nutzen mit OpenAI

Künstliche Intelligenz (KI) kann schnell und präzise Entscheidungen treffen, menschliche Fehler minimieren und Prozesse automatisieren, was Zeit und Ressourcen sparen kann. KI kann auch in komplexen Bereichen wie der Diagnose von Krankheiten oder der Vorhersage von Naturkatastrophen nützlich sein.