{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"CCleaner v5.33.6162 sur windows","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"CCleaner Cloud v1.07.3191 sur windows","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2017-10-09","content":"## Contournement provisoire\n\nDans un billet de blogue (cf, section Documentation), Talos explique le\nfonctionnement de l'attaque. Lorsque CCleaner.exe est ex\u00e9cut\u00e9, la\nportion de code malveillante rajout\u00e9e par les attaquants est \u00e9galement\nlanc\u00e9e. Apr\u00e8s une dizaine de minutes, une tentative de connexion est\neffectu\u00e9e pour tenter de t\u00e9l\u00e9charger et ex\u00e9cuter une porte d\u00e9rob\u00e9e sur\nle poste de l'utilisateur.\n\nAfin de d\u00e9terminer si une machine est infect\u00e9e, il convient de v\u00e9rifier\nles \u00e9l\u00e9ments suivants\u00a0:  \nSi une version affect\u00e9e (cf. section Syst\u00e8mes affect\u00e9s) est install\u00e9e\nsur la machine, la pr\u00e9sence de la cl\u00e9 de registre Windows\nHKLM\\\\SOFTWARE\\\\Piriform peut \u00eatre v\u00e9rifi\u00e9e sur le syst\u00e8me.  \nEn cas de compromission la machine aura communiqu\u00e9 vers l'adresse ip\n216.126.225.148_BAD\\_ ou vers l'un des domaines suivants\u00a0:\n\n-   ab6d54340c1a\\[.\\]com.\\_BAD\\_\n-   aba9a949bc1d\\[.\\]com.\\_BAD\\_\n-   ab2da3d400c20\\[.\\]com.\\_BAD\\_\n-   ab3520430c23\\[.\\]com.\\_BAD\\_\n-   ab1c403220c27\\[.\\]com.\\_BAD\\_\n-   ab1abad1d0c2a\\[.\\]com.\\_BAD\\_\n-   ab8cee60c2d\\[.\\]com.\\_BAD\\_\n-   ab1145b758c30\\[.\\]com.\\_BAD\\_\n-   ab890e964c34\\[.\\]com.\\_BAD\\_\n-   ab3d685a0c37\\[.\\]com.\\_BAD\\_\n-   ab70a139cc3a\\[.\\]com.\\_BAD\\_\n\nSi tel est le cas, la machine doit \u00eatre consid\u00e9r\u00e9e comme potentiellement\ncompromise et restaur\u00e9e \u00e0 un \u00e9tat ant\u00e9rieur au 15 ao\u00fbt 2017, ou de\npr\u00e9f\u00e9rence compl\u00e8tement r\u00e9-imag\u00e9e.\n\nUne autre preuve de compromission est la pr\u00e9sence de la cl\u00e9 de registre\nWindows HKLM\\\\SOFTWARE\\\\Piriform\\\\Agomo.\n\nL'\u00e9diteur Piriform indique ne pas avoir constat\u00e9 une ex\u00e9cution de la\nporte d\u00e9rob\u00e9e et que l'infrastructure de contr\u00f4le du code malveillant a\n\u00e9t\u00e9 d\u00e9mantel\u00e9e.\n\nToutefois, le code malveillant inclus avec CCleaner a \u00e9t\u00e9 sign\u00e9 avec la\ncl\u00e9 priv\u00e9e de l'\u00e9diteur. Cela indique une probable compromission interne\nimpactant leur cha\u00eene de publication. Une confiance faible doit \u00eatre\naccord\u00e9e au certificat utilis\u00e9 par Piriform et tout \u00e9l\u00e9ment sign\u00e9 par\ncelui-ci (sha1\u00a0: f4bda9efa31ef4a8fa3b6bb0be13862d7b8ed9b0).\n\nIl est possible de placer ce dernier dans la liste des certificats non\nautoris\u00e9s de Windows (cf. section Documentation). Cette action n'est pas\nbloquante, l'utilisateur pourra ex\u00e9cuter le programme mais il verra\ns'afficher un message d'alerte.\n\nDe mani\u00e8re plus restrictive, on peut interdire l'utilisation de tout\nprogramme sign\u00e9 avec un certificat jug\u00e9 indigne de confiance avec\nApplocker (cf. section Documentation).\n\nLe 20 septembre 2017, Talos a publi\u00e9 un second billet (cf. section\nDocumentation) d\u00e9taillant l'attaque du point de vue du serveur de\nlivraison de charge. Le code du serveur web r\u00e9cup\u00e9r\u00e9 montre un soucis de\nvalidation des cibles. Cela est renforc\u00e9 par l'analyse des bases de\ndonn\u00e9es : sur les sept-cent-mille machines s'\u00e9tant connect\u00e9es au serveur\nentre le 12 et le 16 septembre 2017, seulement une vingtaine\nd'entre-elles auraient re\u00e7u et vraisemblablement ex\u00e9cut\u00e9 la charge\nsecondaire.\n\nTalos fournit les condensats de cette charge et des fichiers\nmalveillants d\u00e9pos\u00e9s suite \u00e0 son ex\u00e9cution :\n\n-   GeeSetup_x86.dll :\n    dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83\n-   EFACli64.dll :\n    128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f\n-   TSMSISrv.dll :\n    07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902\n-   f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a\n\nLe dernier condensat correspond \u00e0 une porte d\u00e9rob\u00e9e dont l'utilit\u00e9 est\nde r\u00e9cup\u00e9rer d'autres binaires malveillants. Celle-ci est stock\u00e9e dans\nla base de registre de Windows, de mani\u00e8re encod\u00e9e, dans les cl\u00e9s\nsuivantes:\n\n-   HKLM\\\\Software\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\WbemPerf\\\\001\n-   HKLM\\\\Software\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\WbemPerf\\\\002\n-   HKLM\\\\Software\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\WbemPerf\\\\003\n-   HKLM\\\\Software\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\WbemPerf\\\\004\n\nLes 21 et 25 septembre 2017, Avast a publi\u00e9 deux billets (cf. section\nDocumentation) dans lesquels sont d\u00e9taill\u00e9es les analyses des fichiers\ntrouv\u00e9s sur le serveur de commande-et-contr\u00f4le. Avast annonce avoir\nreconstitu\u00e9 presque enti\u00e8rement la base de donn\u00e9es des attaquants.\n\nSelon eux, pendant la p\u00e9riode du 18 ao\u00fbt au 15 septembre 2017, les\nattaquants ont enregistr\u00e9s 5 686 677 connexions provenant de 1 646 536\nmachines distinctes. Toutefois, seulement une quarantaine de postes\nauraient t\u00e9l\u00e9charg\u00e9 et ex\u00e9cut\u00e9 la charge secondaire.\n\nLa disproportion entre le vecteur massif de propagation et le nombre de\nvictimes potentielles renforce le caract\u00e8re cibl\u00e9 de l'attaque.  \nAvast fournit \u00e9galement d'autres indicateurs de compromission :\n\n-   a414815b5898ee1aa67e5b2487a11c11378948fcd3c099198e0f9c6203120b15\n-   7ac3c87e27b16f85618da876926b3b23151975af569c2c5e4b0ee13619ab2538\n-   4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17\n-   b3badc7f2b89fe08fdee9b1ea78b3906c89338ed5f4033f21f7406e60b98709e\n-   a6c36335e764b5aae0e56a79f5d438ca5c42421cae49672b79dbd111f884ecb5\n-   216.126.225.163_BAD\\_ (adresse ip du serveur secondaire de\n    commande-et-contr\u00f4le)\n-   get.adoble\\[.\\]com.\\_BAD\\_\n-   https://github\\[.\\]com/search?q=joinlur&type=Users&u=\u2713.\\_BAD\\_\n-   https://en.search.wordpress\\[.\\]com/?src=organic&q=keepost.\\_BAD\\_\n-   ab8cee60c2d\\[.\\]com.\\_BAD\\_\n-   ab1145b758c30\\[.\\]com.\\_BAD\\_\n-   ab890e964c34\\[.\\]com.\\_BAD\\_\n-   ab3d685a0c37\\[.\\]com.\\_BAD\\_\n-   ab70a139cc3a\\[.\\]com.\\_BAD\\_\n-   ab3c2b0d28ba6\\[.\\]com.\\_BAD\\_\n-   ab99c24c0ba9\\[.\\]com.\\_BAD\\_\n-   ab2e1b782bad\\[.\\]com.\\_BAD\\_\n-   ab253af862bb0\\[.\\]com.\\_BAD\\_\n-   ab2d02b02bb3\\[.\\]com.\\_BAD\\_\n-   ab1b0eaa24bb6\\[.\\]com.\\_BAD\\_\n-   abf09fc5abba\\[.\\]com.\\_BAD\\_\n-   abce85a51bbd\\[.\\]com.\\_BAD\\_\n-   abccc097dbc0\\[.\\]com.\\_BAD\\_\n-   ab33b8aa69bc4\\[.\\]com.\\_BAD\\_\n-   ab693f4c0bc7\\[.\\]com.\\_BAD\\_\n-   ab23660730bca\\[.\\]com.\\_BAD\\_\n","cves":[],"links":[{"title":"Configurer des racines de confiance et des certificats non autoris\u00e9s","url":"https://technet.microsoft.com/fr-fr/library/dn265983(v=ws.11).aspx"},{"title":"Billet de blogue Morphisec","url":"http://blog.morphisec.com/morphisec-discovers-ccleaner-backdoor"},{"title":"Billet de blogue Talos","url":"http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html"},{"title":"Annonce Avast","url":"https://blog.avast.com/update-to-the-ccleaner-5.33.1612-security-incident"},{"title":"Billet de blogue Avast","url":"https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-apt-security-incident"},{"title":"Billet de blogue Talos","url":"http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html"},{"title":"note technique ANSSI Applocker","url":"https://www.ssi.gouv.fr/uploads/2013/12/np_applocker_notetech-v2.pdf"},{"title":"Billet de blogue Avast","url":"https://blog.avast.com/avast-threat-labs-analysis-of-ccleaner-incident"},{"title":"Billet de blogue Intezer","url":"http://www.intezer.com/evidence-aurora-operation-still-active-supply-chain-attack-through-ccleaner/"}],"reference":"CERTFR-2017-ALE-013","revisions":[{"description":"version initiale.","revision_date":"2017-09-18T00:00:00.000000"},{"description":"ajout de liens et de recommandations sur le bloquage d'applications par certificat.","revision_date":"2017-09-19T00:00:00.000000"},{"description":"ajout de nouveaux liens et indicateurs de compromission.","revision_date":"2017-09-21T00:00:00.000000"},{"description":"ajout de nouveaux liens et indicateurs de compromission.","revision_date":"2017-09-26T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte","revision_date":"2017-10-09T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Le 18 septembre 2017, un repr\u00e9sentant de <span class=\"textit\">Piriform\nCCleaner</span> a annonc\u00e9 que depuis le 15 ao\u00fbt 2017, CCleaner et\nCCleaner Cloud contenaient une portion de code malveillant permettant de\nt\u00e9l\u00e9charger une porte d\u00e9rob\u00e9e sur le poste des utilisateurs.\n","title":"Pr\u00e9sence de code malveillant dans Piriform CCleaner","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Piriform du 18 septembre 2017","url":"http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users"}]}