Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Instruções para quem tem CCleaner

Share on linkedin
Share on twitter
Share on facebook

A empresa Avast publicou hoje em seu blog instruções para quem tem o CCleaner instalado em seu computador: a principal é que não é preciso nem aconselhável restaurar o Windows para um ponto anterior ao dia 15 de Agosto de 2017. O principal é a atualização do produto. Dona da inglesa Piriform, produtora do CCleaner, a Avast publicou hoje um extenso post em seu blog com detalhes sobre o incidente de segurança relacionado ao produto: o presidente Vince Steckler e o vice e CTO Ondrej Vlcek assinam o texto. A aquisição da Piriform aconteceu em 18 de Julho e segundo o post de hoje a invasão dos servidores da Piriform havia acontecido antes disso: “Os maus elementos provavelmente já estavam no processo de entrar nos sistemas da Piriform. O comprometimento pode ter começado em 3 de Julho. O servidor havia sido provisionado antes em 2017 e o certificado SSL para a respectiva comunicação https tinha um timestamp de 3 de Julho de 2017. Suspeitamos fortemente que a Piriform estava sendo atingida enquanto ainda operava como empresa isolada, antes da aquisição pela Avast”.

O comprometimento foi feito por meio de algumas linhas de código na versão 5.33, publicada em 15 de agosto. O post de hoje comenta que graças à sofisticação desse ataque ele ficou durante quatro semanas sem ser notado por qualquer empresa de segurança. A Avast foi avisada do problema no dia 12 às 12:35 horário de Brasília, por uma empresa de segurança americana chamada Morphisec: “Foi aberta uma investigação imediatamente. Quando mais tarde recebemos uma notificação também da Cisco já havíamos analisado profundamente a ameaça, avaliado o nível de risco e trabalhado com as forças policiais dos EUA para investigar o caso”. O servidor de CnC (comando e controle) foi derrubado no dia 15 às 13h50 (hora de Brasília).

Para resolver o problema no lado dos clientes, foi primeiro verificado se a versão mais nova (5.34) estava contaminada – mas não estava. A seguir, foi preparada a versão 5.33.6163: idêntica à comprometida mas sem o backdoor. Ela foi enviada aos usuários que tinham update automático. A seguir, foi enviado um aviso aos usuários restantes para que atualizassem o produto manualmente.