2300034

CCleaner-Panne: Das müssen Sie über den Vorfall wissen!

19.09.2017 | 13:58 Uhr |

Es gibt neue, spannende Infos zur Malware-Panne bei CCleaner. Und wir verraten, was die Nutzer jetzt tun müssen.

Nach der CCleaner Malware-Panne gehen die Anbieter des beliebten Säuberungstool in die Aufklärungs-Offensive: Das verwundert nicht, denn CCleaner gehört seit dem 18. Juli 2017 den Sicherheitsspezialisten von Avast. An diesem Tag wurde die Übernahme von Piriform, den Entwicklern von CCleaner, verkündet. Nachdem am Montag die Öffentlichkeit über den Vorfall informiert wurde, legt Avast nun mit einem ausführlichen Blog-Eintrag noch einmal nach. In diesem wird ausführlich erläutert, wie es zum Vorfall kam, wie darauf reagiert wurde und - vor allem - wie ein ähnlicher Fall künftig verhindert werden soll. Der Beitrag endet mit den Worten: "Wir haben alle uns möglichen Maßnahmen getroffen, um sicherzustellen, dass sowas nie wieder vorkommt."

Avast bekennt sich zu den Entwicklern von Piriform. Das Unternehmen habe ein großartiges Produkt im Angebot und besitze "wundervolle" Unterstützer und Nutzer. Was man zum Zeitpunkt der Übernahme allerdings nicht gewusst habe: "Böse Akteure" hatten sich bereits Zugriff auf die von Piriform genutzten Systeme verschafft. Bereits am 3. Juli habe die Kompromittierung der Systeme begonnen, wie jetzt festgestellt wurde. Der Zeitstempel des SSL-Zertifikats der HTTPS-Kommunikation trage jedenfalls dieses Datum.

Spannend wie ein Krimi: So wurde der CCleaner-Vorfall behoben

Am 15. August sei schließlich die infizierte CCleaner-Version 5.33.6162 erschienen und dann vier Wochen im Umlauf gewesen, ohne dass irgendein Sicherheitsunternehmen Alarm geschlagen habe. Das sei ein Beleg dafür, wie "ausgeklügelt" die Attacke gewesen sei. Nach Bekanntwerden des Problems sei es die erste Priorität von Avast gewesen, Piriform zur Seite zu stehen und so schnell wie möglich das Problem zu lösen. Dies sei innerhalb von 72 Stunden geschehen. Nur durch das schnelle Handeln sei erreicht worden, dass die CCleaner-Infizierung keinen Schaden anrichten konnte.

Laut Avast traf die schädliche CCleaner-Version etwa 2,27 Millionen Nutzer. CCleaner sei weiter verbreitet, allerdings sei in dem betreffenden Fall nur die 32-Bit-Version von CCleaner 5.33 betroffen gewesen. Durch die Auslieferung der neuen Version 5.34 an die Nutzer sei die Zahl auf nunmehr etwa 730.000 reduziert worden. Auch diese Nutzer werden nun zum Update auf CCleaner 5.34 aufgefordert, auch wenn mittlerweile die Malware Server-seitig unschädlich gemacht wurde.

Interessant ist auch der Hinweis, dass gar nicht die Sicherheitsexperten von Cisco Talos die CCleaner-Macher auf das Problem hingewiesen hatten, wie auch wir zunächst berichtet hatten. Avast hatte laut eigenen Angaben bereits am 12. September von dem Unternehmen Morphisec einen Tipp erhalten und anschließend sofort reagiert. Erst am 14. September traf die Meldung von Cisco ein. Zu diesem Zeitpunkt sei die Bedrohung bereits vollständig analysiert und die Ermittlungsbehörden eingeschaltet worden. Der von der Malware verwendete "Command & Control"-Server wurde dann schließlich am 15. September mithilfe der Ermittlungsbehörden vom Netz genommen.

Parallel dazu habe aber auch Cisco - ohne Wissen von Avast - die von der Malware verwendeten Domains registriert. Letztendlich war durch die beiden Maßnahmen die Malware unschädlich gemacht worden. Zeitgleich dazu hätten die Piriform-Entwickler die CCleaner-Version 5.33.6163 als Nachfolger von 5.33.6162 entwickelt. Der wichtigste Unterschied: Im Installer war der Backdoor entfernt worden. Nach kurzer Zeit wurde diese neue Version bereits an die CCleaner-Nutzer ausgeliefert. Allerdings wurde nur ein Hinweis auf die neue Version bei den Nutzern angezeigt, weil die kostenlose Variante von CCleaner keine Autoupdate-Funktion besitzt.

Avast: Es ist kein Rechner-Backup auf Zustand vor 15. August notwendig!

Avast dementiert auch, dass betroffene Nutzer ihren Rechner auf einen Stand vor dem 15. August zurücksetzen müssen. "Wir glauben nicht, dass dies notwendig ist", so Avast. Die eigenen Analysen hätten ergeben, dass der schädliche Code nie aktiviert wurde und - aufgrund der oben bereits erwähnten Maßnahmen - auch nicht mehr aktiviert werden könnte. Der einzige schädliche Code auf den Rechnern sei damit der in der CCleaner.exe-Binary enthaltene Code. Allen Nutzern wird das Update auf die aktuelle Version von CCleaner empfohlen. Dadurch wird auch der Backdoor-Code von dem System entfernt.

Letztendlich seien zahlreiche Maßnahmen getroffen worden, um einen ähnlichen Vorfall in Zukunft zu verhindern. So sei die gesamte Piriform-Entwicklungsumgebung in die Avast-Infrastruktur integriert worden. Über weitere Blog-Einträge soll die Öffentlichkeit auch weiterhin mit neuen Infos rund um den Vorfall versorgt werden, verspricht Avast-Chef Vince Steckler.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2300034