neprihlásený Pondelok, 25. novembra 2024, dnes má meniny Katarína
Avast sa mýlil, infekcia CCleaneru je oveľa vážnejšia. Prestrelka s Ciscom

Značky: bezpečnosťsoftvér

DSL.sk, 21.9.2017


Bezpečnostný incident s distribúciou infikovaného populárneho softvéru CCleaner je vážnejší, ako pôvodne tvrdila spoločnosť Avast, materská spoločnosť tvorcu softvéru Piriform.

Incident a pôvodná verzia

Ako sme upozornili v pondelňajšom a utorňajšom článku, Piriform ponúkal takmer mesiac od 15. augusta do 12. septembra z oficiálnych serverov infikovanú verziu inštalátora CCleaner 5.33.6162 a tiež infikovanú verziu CCloud Cloud 1.07.3191.

V inštalátore bol infikovaný priamo inštalovaný spustiteľný súbor CCleaneru, pričom infekcia sa týka podľa Avastu iba 32-bitových verzií Windows.

Na tom odkiaľ užívateľ stiahol inštalačný súbor nezáležalo, podľa informácií Avastu pre DSL.sk všetky stránky distribuujúce CCleaner ponúkali rovnaký infikovaný inštalátor.

Podľa Avastu bolo incidentom postihnutých 2.27 miliónov užívateľov.


Ilustračný obrázok, CCleaner, kliknite pre zväčšenie (screenshot: Piriform)



Škodlivý kód v CCleaner kontaktoval server pod kontrolou útočníkov a mohol z neho stiahnuť a spustiť ďalší škodlivý kód.

Spoločnosť Avast ale pôvodne tvrdila, že podľa jej zistení vychádzajúcich z analýzy infikovaných počítačov sa žiadny ďalší škodlivý kód na počítače nestiahol. Podľa pôvodného odporúčania Avastu je tak postačujú, ak užívatelia s infikovanou verziou CCleaneru jednoducho nainštalujú novú neinfikovanú verziu 5.34.

Ako sme upozorňovali v našich článkoch, toto riešenie bez jasného potvrdenia stavu nemusí byť dostatočné a minimálne je odporúčané uskutočniť antivírusový sken systému. Ak sú na počítači citlivé informácie, užívatelia by mali zvažovať aj razantnejšie opatrenia.

Upozornili sme tiež na odporúčanie bezpečnostnej divízie Talos spoločnosti Cisco, ktorá odporúčala jednoducho pre istotu buď obnoviť stav systému do stavu pred 15. augustom alebo Windows reinštalovať. Podľa informácií pre DSL.sk zo začiatku týždňa v tom čase ale nemala informácie potvrdzujúce zrealizovanie sekundárnej infekcie.

Nové informácie

Opodstatnenosť väčšej opatrnosti a potenciálna nedostatočnosť inštrukcií Avastu sa teraz potvrdila.

Cisco a Avast dostali k dispozícii dáta zo servera používaného útočníkmi a tie potvrdzujú, že po nakontaktovaní servera škodlivým kódom prichádzalo k ďalšej infekcii.

Tá bola ale podľa kódu zo servera z polovice septembra veľmi selektívna, pričom ďalší škodlivý kód bol posielaný len na infikované počítače z viacerých firiem, na ktoré útočníci cielili. Išlo o technologické firmy, napríklad aj samotné Cisco, Microsoft, Samsung, Sony, VMware, MSI, Google, D-Link, HTC, O2, Vodafone, Epson, Akamai.

Databáza zároveň potvrdzuje, že len za štyri dni v septembri sa na server pripojilo 20 počítačov s dodatočnou infekciou. Avast z toho vyvodzuje, že ďalším škodlivým kódom mohli byť infikované minimálne stovky počítačov.

Samozrejme sa nedá ani vylúčiť, že niekedy po začiatku infekcie 15. augusta prišlo k veľkej zmene a pred ňou boli infikované ďalším škodlivým kódom počítače masovo. Na druhej strane nové získané informácie na to nepoukazujú.

Za škodlivým kódom bola podľa Cisca totiž pravdepodobne známa sofistikovaná hackerská organizácia respektíve skupina označovaná Ciscom ako Group 72, keď existujú zhody medzi použitým škodlivým kódom v tomto incidente a inom incidente pripísanom Group 72. Táto skupina cieli podľa Cisca na zaujímavé terče a firmy v USA, Japonsku, na Taiwane a v Južnej Kórei.

Ak je za incidentom naozaj takáto skupina, tá by sa pravdepodobne nechcela prezradiť vážnejším masovým útokom na všetky infikované počítače aby incident neodhalila a nepripravila sa o možnosť útočiť na zaujímavé ciele. Na druhej strane sa to nedá stopercentne vylúčiť.

Avast aj Cisco zverejnili čiastočnú analýzu ďalšieho doručovaného škodlivého kódu. Ten ale sťahoval znovu ďalší škodlivý kód už z iného servera a zatiaľ tak nie je jasné, čo skutočne robil.

Prestrelka Avastu s Ciscom

Incident od začiatku sprevádza aj prestrelka Avastu s Ciscom, ktoré na incident upozornilo popri Avaste v pondelok.

Cisco v pondelok informovalo, že infekciu detekovalo a nahlásilo ju Avastu. Netvrdilo, že Avast dozvedel o infekcii od neho, naopak informácie Cisca ukazovali na nezávislú detekciu incidentu. Cisco totiž podľa svojich informácií upozornilo Avast 13. septembra, ten už 12. septembra sprístupnil opravenú neinfikovanú verziu.

V utorok Avast ale v tomto oznámení viackrát komentuje priamo alebo nepriamo Cisco. V informácii, ktorá vyzerá ako snaha bagatelizovať prínos Cisca respektíve vyvracať že incident identifikovalo Cisco, informuje, že na incident ho upozornila spoločnosť Morphisec a že verí, že Cisco bolo upozornené na incident touto spoločnosťou.

Cisco v utorok doplnilo, že incident objavili Cisco a Morphisec v odlišných prípadoch.

Avast ďalej informuje, že Cisco si domény využívané škodlivým kódom registrovalo skôr ako mal šancu si ich registrovať Avast.

Hlavne ale Avast tvrdo kritizoval odporúčania, ktoré dávalo Cisco. V tomto prípade už Cisco nemenoval, vyjadril sa ale k odporúčaniam obnoviť systémy do stavu pred 15. augustom alebo ich reinštalovať. "Veríme, že to nie je nevyhnutné. Nepovažujeme obnovu postihnutých počítačov do stavu pred 15. augustom za nevyhnutnú. Z podobných dôvodov bezpečnostné spoločnosti väčšinou neodporúčajú zákazníkov reformátovať ich počítače po tom, ako bola na nich identifikovaná zraniteľnosť umožňujúca vzdialené spustenie kódu," uvádzal Avast.

Po nových informáciách zase Cisco kritizuje predchádzajúce odporúčania Avastu, hoci ho tiež nemenuje. "Bohužial, bezpečnostné udalosti ktoré nie sú kompletne pochopené sú bagatelizované v závažnosti. To môže byť proti záujmom obetí. Bezpečnostné spoločnosti musia byť konzervatívne v ich radách predtým ako sú známe všetky detaily útoku, aby pomohli užívateľom sa uistiť, že sú naďalej chránení," uvádza Cisco.

Odporúčania

Cisco po nových informáciách pochopiteľne nezmenilo svoje odporúčania a avizuje, že nové informácie len potvrdzujú jeho pôvodné odporúčania.

Avast svoje odporúčania zmenil na podobné odporúčania, aké sme dávali od pondelka našim čitateľom. Individuálnym užívateľom odporúča samozrejme upgradovať na aktuálnu verziu CCleaneru, aktuálne už 5.35, a aby používali kvalitný antivírusový produkt. Síce tvrdí, že pre indivuálnych užívateľov trvá na svojom pôvodnom odporúčaní, informácia o používaní antivírusu je ale pridaná, z informácií pochopiteľne vypustil, že jediným škodlivým kódom je kód v CCleaner, a odporúčania Cisca už nekrizuje ako nepotrebné.

Firmám Avast len hovorí, že ich reakcia môže byť odlišná v závislosti na ich IT politike. "V tejto fáze nemôžeme tvrdiť, že firemné počítače nemohli byť kompromitované, aj keď útok bol veľmi cielený," uvádza aktuálne Avast.

Zosumarizovaním, vhodným riešením pre všetkých užívateľov je minimálne samozrejme sa zbaviť infikovanej verzie CCleaneru napríklad upgradom na novú 5.34 a uskutočniť detailný antivírusový sken systému.

Ďalšie kroky sú na individuálnom zvážení užívateľov a závisia aj na tom, ako citlivé a dôležité informácie mali užívatelia na počítači a v sieti a aký je celkový prístup užívateľa alebo firmy k prípadnej infekcii. Pre bežných domácich užívateľov, ktorí bežne nereinštalujú svoj systém, sami by tak nespravili keby boli prípadne infikovaní vírusom alebo by to ani nezvládli, môže byť reinštalácia samozrejme príliš radikálnym odporúčaním a takéto odporúčanie tak zrejme nie je aspoň zatiaľ vhodným automaticky pre úplne každého.

Užívatelia sa tak musia rozhodnúť sami, aké riziko tolerujú a aké riešenie zvolia. Zatiaľ ďalšia infekcia bežných domácich užívateľov vyzerá menej pravdepodobná, vylúčená ale nie je. Či pre zmenu cieľov alebo prípadné infikovanie cieľov, ktoré v skutočnosti neboli zamýšlanými cieľmi.

Zatiaľ pre rozhodovanie užívateľov tiež ale samozrejme chýba dôležitá informácia, čo ďalší sťahovaný škodlivý kód robí. Bohužial zatiaľ nie je ani jasné, či bude táto informácia niekedy k dispozícii.


      Zdieľaj na Twitteri



Najnovšie články:

Japonci uviedli ethernetový kábel s magnetickým konektorom
Starship by mohla za najbližšie štyri roky uskutočniť až 400 štartov
Protimonopolný úrad začal prešetrovať, prečo v SR nie sú skutoční virtuálni mobilní operátori
Nový trailer filmu Minecraft
Linux v ďalšej verzii vyradí súborový systém Reiser


inzercia



Diskusia:
                               
 

CCleaner prinasa viac balastu ako pozitivneho efektu, a teraz to uz je aj potvrdene.
Odpovedať Známka: 1.1 Hodnotiť:
 

Je to ideálna vec pre človeka, ktorý sa v PC nevyzná
1. Dáš mu to do PC ktorý má spomalený
2. Nech si vymaže dočasné súbory
3. Povieš mu aby si vymazal programy ktoré nepotrebuje
4. Vyberie si jeden obľúbený zo 4 nainštalovaných antivirákov...
5. Presvedčíš ho že je teraz PC v svojom TOP stave
6. Keď mu nestačí takto - nech zainvestuje

Poznámka: očakávajte zodpovednosť za každú sračku ktorá sa odvtedy v tom šrote stane. Je preto nutné zvážiť, či vôbec chcete začať

Odpovedať Známka: 1.2 Hodnotiť:
 

Asi máš nízku hodinovku, keď sa sťažuješ na zákazníka, keď sa obráti na teba.
Odpovedať Známka: 1.1 Hodnotiť:
 

co ak to je pre rodinu gratis ?
Odpovedať Známka: 5.7 Hodnotiť:
 

Nie som ITčkár, ale ľudia okolo vedia že viem nainštalovať Skype...
Odpovedať Známka: 7.1 Hodnotiť:
 

Prave idem od suseda .... pouziva notebook acer ... nainstalovany win Vista .... skype prestalo podporovat win Vista .... ok ok telefon ma android tak to bude pohoda ... sused nema wifi, notebook napojeny na kabel dlhy 20 metrov od dalsieho suseda .... takze teraz je sused telefonom pripojeny na moju wifi s tym ze bude pouzivat na nej skype a aktualizacie ... hodina mojho zivota prec
Odpovedať Známka: 4.0 Hodnotiť:
 

Ja som susedovi heslo na wifi nedal ani nedám. Hranice sú hranice. Pochopil to v pohode.
Odpovedať Známka: 8.0 Hodnotiť:
 

Keby radsej odporucis kupu maleho usb wifi hotspotu... ten komfort
Odpovedať Známka: 3.3 Hodnotiť:
 

susedovi zajtra donesiem router - zarobene! pri nastavovani dame flasu Tullamore, prip. 2 flase frankovky/cabernetu, pripadne po 5 piv - nakupene! co viac si zelat od pekneho vecera. Jo.. aby to bola suseda, a mohol si odfajknut aj tretie policko..
Odpovedať Známka: 6.9 Hodnotiť:
 

.. nuz, mozno ak prida aj tretiu flasu, tak prekonate aj tieto zabrany a mozes odfajknut aj tretie policko :P
Odpovedať Známka: 8.7 Hodnotiť:
 

to už rovno môžte dať dymku míru, howg
Odpovedať Hodnotiť:
 

no way.. to tak nefunguje, keby fungovalo, tak ludstvo davno vymrie na nedostatok sexu s opacnym pohlavim.
Odpovedať Hodnotiť:
 

Install Arch...
Odpovedať Známka: -4.5 Hodnotiť:
 

1 z 1-ého experta odporúča pristúpiť k aktivite až po zverejnení oficiálneho prehlásenia spoločnosti Cisco o bezpečnosti inštalácie.
Odpovedať Známka: 6.0 Hodnotiť:
 

ak servisujes windows pracovne stanice, tak jasne ze mas nizku hodinovku. v podradnej praci nemozes cakat vysoke financne ohodnotenie :)
Odpovedať Známka: 0.0 Hodnotiť:
 

menuj balast:
Odpovedať Známka: -3.3 Hodnotiť:
 

Síce o dva dni neskoro, ale neodpustím si:

Avast! Ye scurvy scallywags!
Odpovedať Známka: 6.0 Hodnotiť:
 

Ay! Ay!
Odpovedať Známka: 5.0 Hodnotiť:
 

dem wik fokz,kant cek oun sekoritej
Odpovedať Známka: 0.0 Hodnotiť:
 

Ja mam dojem, ze dany incident je v uplnom poriadku s politikou CCleaneru. Po instalacii CCleaneru, je nutne preinstalovat operacny system a reformatovat disk. Zrychlenie behu operacneho systemu je zarucene.
Odpovedať Známka: 5.8 Hodnotiť:
 

Neviem aky win pouzivas, ale ja uz od xp po win7 nemam s ccleanerom ziadny problem. Raz za uhorsky rok dam precistit docasne subory a registre. System sa itelne zrychli, hlavne ak mas ako sys disk klasicky hdd. Pri ssd uz nie je rozdiel tak vyrazny.
Odpovedať Známka: 0.9 Hodnotiť:
 

LOL som rad, ze nie som sam. Naposledy som ho pouzival vo Win XP a zakazdym mi zmizla polovica ikon z desktopu a vacsina programov nesla spustit. To sa mi stalo 2x a poslal som ho do certa diabla.
Odpovedať Známka: -6.4 Hodnotiť:
 

ked si bol taky idiot, ze si vsetko instaloval do adresara TEMP .... :D
Odpovedať Známka: 7.7 Hodnotiť:
 

Alebo bez rozmyslu zaciarkol vsetky moznosti, lebo predsa este cistejsi pocitac.:)
Odpovedať Známka: 6.9 Hodnotiť:
 

Tak si to v rýchlosti zrekapitulujme: Milióny počítačov bolo infikovaných a Cisco s Avastom si merajú penisy a doťahujú sa či bola prvá sliepka alebo vajce. Komu to pomôže?
Odpovedať Známka: 6.7 Hodnotiť:
 

Nemerajú. Cisco len tvrdí, že Avast nemá väčší, ale svoj nevytiahol.
Odpovedať Známka: 9.0 Hodnotiť:
 

Vobec nie. Cisco tvrdi nieco na zaklade svojej analyzy. A Avastu sa asi moc nepaci, ze sa pise viac o Ciscu ako o Avaste.

Kazdemu rozumnemu cloveku musi dojst, ze ak ma v systeme "navstevnika" o ktorom nevie co vsetko tam robi, tak je treba PC preinstalovat a data vytiahnut zo zalohy.
Odpovedať Známka: 0.0 Hodnotiť:
 

Praveze rozumny clovek nemusi mat milosrdnost vlka, aby chorym kusom dozicil rychlu smrt.
Odpovedať Hodnotiť:
 

Mohli by radsej na 100% potvrdit, ze sa infiltracia tykala len x86 verzie a ze x64 boli ciste. Ja som mal kompromitovanu verziu v x64 na dvoch kompoch, tak reku ci mam chytat paranoju ci flegmatizmus.
Odpovedať Známka: 6.7 Hodnotiť:
 

https://youtu.be/fEAe1GGaIHE?t=0m33s
Odpovedať Hodnotiť:
 

Ja tvrdím, že infikovný CCleaner napáda len 32-bitové PC z toho dôvodu, že v Kórejskej ľudovodemokratickej republike jednoducho nemali dosť 64-bitových mašín pre dev a test prostredia.
Odpovedať Známka: 5.7 Hodnotiť:
 

...ale maju, skladaju to z PS4, ktore nosi Rodman raz za cas zo statov na severokorejsky diplomaticky pas.
Odpovedať Známka: 5.0 Hodnotiť:
 

Ja by som som im ked uz teda poslal nejake data na te ich sevre.je dane ze ak je zlodej hladny nakrm ho.tak treba mu volaco poslat.
Odpovedať Známka: 2.0 Hodnotiť:
 

Avast je firma, takze v nadpise ma byt: "Avast sa mylila...". Pozor na tieto nedostatky.
Odpovedať Známka: -2.0 Hodnotiť:
 

keby bolo v nadpise "firma avast" tak by tam malo byt "milila", kedze "avast" je meno(pravdepodobne muzskeho rodu) tak tam je spravne "mylil".

ale je mozne ze som sa zmylil/a :-)
Odpovedať Hodnotiť:
 

to akoze Microsoft oznamila novinky na tento rok? :-)
Aladar, budem ta nabonzovat tvoj ucitelka lovenciny. :-)
Odpovedať Hodnotiť:
 

Som rad, ze ste reagovali. Ja som chcel tymto iba upozornit na to, ze na tejto stranke sa tvrdosijne uvadza Apple v zenskom rode a zdovodnuje sa prave tym, ze je to ta firma, teda ta Apple. Co je samozrejme nespravne. Ako Apple, tak aj Google, Avast a i. su muzskeho rodu, teda jedine spravne je napisat "Avast sa mylil", ale takisto napr. "Apple predstavil".
Odpovedať Hodnotiť:
 

A preto treba stahovat SW z dobrych warezovych for a trackerov, kde ludia to co stahuju aj kontroluju :) Tam by sa ziaden zavireny SW dlho neudrzal.
Odpovedať Hodnotiť:
 

Cim by to zkontrolovali ked antiviry o tom nemali vtedy este sajnu?


Odpovedať Hodnotiť:

Pridať komentár