{"id":194201,"date":"2017-09-19T12:17:20","date_gmt":"2017-09-19T10:17:20","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=194201"},"modified":"2020-04-01T20:41:48","modified_gmt":"2020-04-01T18:41:48","slug":"avast-stellungnahme-zur-ccleaner-backdoor","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/09\/19\/avast-stellungnahme-zur-ccleaner-backdoor\/","title":{"rendered":"AVAST-Stellungnahme zur CCleaner-Backdoor"},"content":{"rendered":"

Der Sicherheitsanbieter AVAST hat jetzt Stellung zum Fall der \u00fcber einen Monat im Tool CCleaner enthaltenen Backdoor Stellung genommen. Hier einige Informationen.<\/p>\n

<\/p>\n

\"\"Die Original Stellungnahmen von AVAST ist in Englisch und findet sich hier<\/a> (danke an Leon f\u00fcr den Link). Nachfolgend einige Ausz\u00fcge in Deutsch, was man wissen sollte. <\/p>\n

AVAST schreibt, dass kurz nach der urspr\u00fcnglichen Ank\u00fcndigung des Hacks eine Reihe von Presseberichten ver\u00f6ffentlicht wurden, aber viele Details \u00fcber das Geschehene und die Auswirkungen auf die Nutzer wurden vermutet. AVAST m\u00f6chte in der Stellungnahme diese Gelegenheit nutzen, um so viel wie m\u00f6glich an Fehlinformationen zu korrigieren.<\/p>\n

Hack vor oder kurz nach der Piriform-\u00dcbernahme<\/h2>\n

Avast erwarb Piriform, den Hersteller von CCleaner, am 18. Juli 2017. Hintergrund war, weil man im Piriform CCleaner ein gro\u00dfartiges Produkt sah. Was AVAST nicht wusste, war, dass die Hacker zu diesem Zeitpunkt bereits am Werk waren, um die Piriform-Systeme zu hacken. Der Angriff hat m\u00f6glicherweise bereits am 3. Juli begonnen, denn der Server wurde bereits 2017 bereitgestellt und das SSL-Zertifikat f\u00fcr die jeweilige https<\/em>-Kommunikation trug einen Zeitstempel vom 3. Juli 2017. <\/p>\n

AVAST vermutet daher stark, dass Piriform als eigenst\u00e4ndiges Unternehmen Ziel des Hacks war, da die \u00dcbernahme von AVAST damals noch unbekannt war. AVAST gibt an, dass das Problem von ihnen innerhalb von ca. 72 Stunden nach der Entdeckung behoben wurde, ohne dass Piriform-Kunden Schaden erlitten. <\/p>\n

Historie des Angriffs und weitere Details<\/h2>\n

Die kompromittierte Version von CCleaner wurde am 15. August ver\u00f6ffentlicht und blieb f\u00fcr vier Wochen unbemerkt von jeder Sicherheitsfirma, was, nach AVASTs Meinung, die Raffinesse des Angriffs unterstreicht. AVAST schreibt, dass es nach deren Meinung eine gut vorbereitete Operation war. AVAST wurde bereits vor Cisco Talos von der Sicherheitsfirma Morphisec kontaktiert. <\/p>\n

Am 12. September, 8:35 Uhr wurde Avast zum ersten Mal von Morphisec \u00fcber den vermuteten Hack informiert. AVAST glaubt, dass Morphisec auch Cisco benachrichtigt hat. Nach Erhalt dieser Meldung wurde bei AVAST unverz\u00fcglich eine Untersuchung eingeleitet, und bis zum Eingang der Cisco-Meldung (14. September, 7:25 Uhr PT) hatten die Sicherheitsspezialisten die Bedrohung bereits gr\u00fcndlich analysiert, ihr Risikoniveau bewertet und parallel dazu in den USA mit den Strafverfolgungsbeh\u00f6rden zusammengearbeitet, um die eigentliche Ursache des Problems zu untersuchen.<\/p>\n

Im Anschluss daran wurde der CnC-Server am 15. September um 9:50 Uhr PT (in Kooperation mit den Strafverfolgungsbeh\u00f6rden) heruntergefahren. W\u00e4hrend dieser Zeit hat das Cisco Talos-Team, das parallel an diesem Thema gearbeitet hat, die sekund\u00e4ren DGA-Domains registriert, bevor AVST dazu eine Chance hatte. Mit diesen beiden Aktionen wurde der Server heruntergefahren und die Bedrohung effektiv beseitigt, da der Angreifer die F\u00e4higkeit verlor, die Nutzlast zu liefern.<\/p>\n

W\u00e4hrend dieser Zeit arbeiteten auch Piriform und AVAST an der Bereitstellung einer schnellen L\u00f6sung f\u00fcr CCleaner-Benutzer. Zuerst stellte AVAST sicher, dass die aktuell versendete Version (5.34) und fr\u00fchere Versionen die Bedrohung nicht enthielten (das war gl\u00fccklicherweise nicht der Fall, wie eine Untersuchung ergab). <\/p>\n

Als n\u00e4chstes ver\u00f6ffentlichte AVAST\/Piriform eine Version 5.33.6163, die identisch zu 5.33.6162 ist, jedoch mit entfernter Backdoor. Diese Version wurde als automatisches Update f\u00fcr CCleaner-Benutzer verteilt (jedenfalls dort, wo es m\u00f6glich war). Die verbleibenden Benutzer wurden so schnell als m\u00f6glich benachrichtigt und gebeten, auf die neueste Version des Produkts zu aktualisieren (leider konnte Piriform die kostenlosen CCleaner-Installationen nicht automatisch aktualisieren, da die kostenlose Version keine Auto-Update-Funktionalit\u00e4t enth\u00e4lt).<\/p>\n

Ist eine Neuinstallation von Windows erforderlich?<\/h2>\n

Einige Medienberichte deuten darauf hin, dass die betroffenen Systeme vor dem 15. August in einen Zustand vor dem 15. August wiederhergestellt oder neu installiert bzw. wieder aufgebaut werden mussten. Die Leute von AVAST halten das nicht f\u00fcr notwendig. Ungef\u00e4hr 30% der CCleaner-Benutzer verwenden auch die AVAST-Sicherheitssoftware, mit der der Anbieter Verhaltens-, Verkehrs- und Datei-\/Registrierungsdaten von diesen Computern analysieren kann. Aufgrund der Analyse dieser Daten gehen die Leute von AVAST davon aus, dass die zweite Stufe der Nutzlast nie aktiviert wurde, d. h. der einzige b\u00f6sartige Code, der auf den Rechnern der Kunden vorhanden war, war der in der Bin\u00e4rdatei ccleaner. exe<\/em> eingebettete Code. <\/p>\n

Eine Wiederherstellung der betroffenen Maschinen auf den Stand vor dem 15. August halten wir daher f\u00fcr \u00fcberfl\u00fcssig. Nach einer \u00e4hnlichen Logik raten Sicherheitsunternehmen ihren Kunden in der Regel nicht, ihre Maschinen neu zu formatieren, nachdem eine Schwachstelle bei der Remotecodeausf\u00fchrung auf ihrem Computer identifiziert wurde.<\/p>\n

Kunden wird empfohlen, auf die neueste Version von CCleaner zu aktualisieren, da diese den Backdoor-Code von ihren Systemen entfernt. CCleaner 5.33-Benutzer erhalten ab sofort eine Benachrichtigung, dass das Update durchgef\u00fchrt werden soll.<\/p>\n

Getroffene Ma\u00dfnahmen<\/h2>\n

AVAST schreibt, dass sie sich des Ernstes der Situation bewusst seien und bedauert die Unannehmlichkeiten, die Piriform-Kunden erleben. AVAST \u00fcbernimmt die Verantwortung f\u00fcr den Versto\u00df und hat folgende Ma\u00dfnahmen und Vorsichtsma\u00dfnahmen getroffen:<\/p>\n