CCleaner

Les utilisateurs de Ccleaner sont invités à mettre à jour le logiciel. Il a été découvert qu'une version distribuée en août a été modifiée en secret pour récupérer des données sur les ordinateurs.

Le 18 septembre 2017, un représentant de Piriform CCleaner a annoncé que depuis le 15 août 2017, CCleaner et CCleaner Cloud contenait une portion de code malveillant permettant de télécharger une porte dérobée sur le poste des utilisateurs.

Afin de déterminer si une machine est infectée, il convient de vérifier les éléments suivants :

Si une version affectée (cf. section Systèmes affectés) est installée sur la machine, la présence de la clé de registre Windows HKLM\SOFTWARE\Piriform peut être vérifiée sur le système.

En cas de compromission la machine aura communiqué vers l'adresse ip 216.126.225.148_BAD_ ou vers l'un des domaines suivants :

  • ab6d54340c1a[.]com._BAD_
  • aba9a949bc1d[.]com._BAD_
  • ab2da3d400c20[.]com._BAD_
  • ab3520430c23[.]com._BAD_
  • ab1c403220c27[.]com._BAD_
  • ab1abad1d0c2a[.]com._BAD_
  • ab8cee60c2d[.]com._BAD_
  • ab1145b758c30[.]com._BAD_
  • ab890e964c34[.]com._BAD_
  • ab3d685a0c37[.]com._BAD_
  • ab70a139cc3a[.]com._BAD_

Si tel est le cas, la machine doit être considérée comme potentiellement compromise et restaurée à un état antérieur au 15 août 2017, ou de préférence complètement ré-imagée.

Une autre preuve de compromission est la présence de la clé de registre Windows HKLM\SOFTWARE\Piriform\Agomo.

L'éditeur Piriform indique ne pas avoir constaté une exécution de la porte dérobée et que l'infrastructure de contrôle du code malveillant a été démantelée.

Toutefois, le code malveillant inclus avec CCleaner a été signé avec la clé privée de l'éditeur. Cela indique une probable compromission interne impactant leur chaîne de publication. Une confiance faible doit être accordée au certificat utilisé par Piriform et tout élément signé par celui-ci (sha1 : f4bda9efa31ef4a8fa3b6bb0be13862d7b8ed9b0).

Il est possible de placer ce dernier dans la liste des certificats non autorisés de Windows. Cette action n'est pas bloquante, l'utilisateur pourra exécuter le programme mais il verra s'afficher un message d'alerte.

De manière plus restrictive, on peut interdire l'utilisation de tout programme signé avec un certificat jugé indigne de confiance avec Applocker.