Avast : un nouvelle attaque pour tenter de compromettre CCleaner

Le par  |  9 commentaire(s)
technologie-hacker

Même avec une infrastructure passée sous la houlette d'Avast, CCleaner a une nouvelle fois fait l'objet d'une attaque pour tenter de compromettre ses versions lors d'une diffusion.

Avast révèle avoir été la victime d'une attaque dont le but aurait été une nouvelle fois de compromettre les publications de l'utilitaire CCleaner directement depuis la chaîne d'approvisionnement, comme cela avait été le cas en 2017 (avant le rachat de Piriform par Avast).

Dans un billet de blog, Avast explique avoir découvert le 23 septembre qu'un attaquant avait obtenu un accès à son réseau interne après la compromission des identifiants du client VPN d'un collaborateur. Il est parvenu à obtenir des privilèges d'administrateur de domaine.

Après analyse, Avast a déterminé que les tentatives d'accès au réseau remontaient au 14 mai dernier. La compromission a été possible en raison d'un profil VPN activé par erreur et ne nécessitant pas une double authentification.

Dans cette affaire, Avast a fait le choix assez audacieux de laisser le profil VPN temporaire ouvert pour essayer de suivre à la trace l'intrus et mener les actions correctrices idoines qui sont du reste allées au-delà du seul cas de CCleaner. Ce profil VPN a été fermé le 15 octobre.

CCleaner_logo

L'enquête est toujours en cours, mais avec toutes les précautions qui ont été mises en œuvre, Avast estime pouvoir dire " en toute confiance " que les utilisateurs de CCleaner - qui a été signé avec un nouveau certificat électronique - sont protégés et n'ont pas été affectés.

De manière très transparente, Avast donne des détails sur cet incident. Le billet de blog a également été traduit en français. Pour Avast, l'attaque - du moins la tentative - était extrêmement sophistiquée. Le nom Abiss lui a été affublé.

À ce stade, Avast ne sait pas si le ou les attaquants sont les mêmes que ceux en 2017 (avec une piste d'attaquants chinois). CCleaner continue manifestement de susciter un intérêt stratégique pour des attaquants.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2081483
Moralité, restez avec un vieux Ccleaner, et désactivez toutes les options de connexions de ce logiciel, qui n'a aucune raison de dialoguer avec l'extérieur, si ce n'est pour qu'Avast et l'Otan espionnent les utilisateurs.
Le #2081488
Très sympa.
J'apprécie vraiment ces communications des acteurs de la sécurité qui montrent bien que leur métier ne se limite pas a mettre à jour une base de signatures.
Le #2081511
C'est en effet la meilleure solution.
Le #2081513
billgatesanonym a écrit :

Moralité, restez avec un vieux Ccleaner, et désactivez toutes les options de connexions de ce logiciel, qui n'a aucune raison de dialoguer avec l'extérieur, si ce n'est pour qu'Avast et l'Otan espionnent les utilisateurs.


Moralite, si on avait un minimum de connaissance en securite informatique on saurait que ce type de logiciel non maintenu a jour est aussi utile qu'un coton tige pour "nettoyer son ordinateur des vilains virus et spyware du consensus etatique qui gouverne la planete Terre, Mars et Saturne"
Le #2081516
Le #2081563
billgatesanonym a écrit :

Moralité, restez avec un vieux Ccleaner, et désactivez toutes les options de connexions de ce logiciel, qui n'a aucune raison de dialoguer avec l'extérieur, si ce n'est pour qu'Avast et l'Otan espionnent les utilisateurs.


Je ne comprends pas trop ce que vient faire l'OTAN ici.
Le #2081572
Perso ce qui me choque toujours le plus c'est même pas l'attaque en elle-même, y'aura toujours des pirates, c'est plutôt ça :

"Il est parvenu à obtenir des privilèges d'administrateur de domaine."

Donc en gros y'avait personne au dessus de lui... N'importe quoi...
Je pige toujours pas comment ce genre de chose est possible... Surtout dans une boite soi-disant chargée de sécurité...

Ca fait bien rire quand même... Et après ils vont nous vendre leur suite complète...
Le #2081579
CodeKiller a écrit :

Perso ce qui me choque toujours le plus c'est même pas l'attaque en elle-même, y'aura toujours des pirates, c'est plutôt ça :

"Il est parvenu à obtenir des privilèges d'administrateur de domaine."

Donc en gros y'avait personne au dessus de lui... N'importe quoi...
Je pige toujours pas comment ce genre de chose est possible... Surtout dans une boite soi-disant chargée de sécurité...

Ca fait bien rire quand même... Et après ils vont nous vendre leur suite complète...


Le mec est passé par un profil VPN temporaire avec (on peut le supposer) des identifiants faibles qu'il a sans doute pu bruteforcer.
C'est un problème d'administration en premier lieu (mot de passe faible + manque de contrôle sur les comptes du VPN)
Ensuite, le mec a obtenu les droits admin du domaine, rien ne dit que c'est au travers des outils Avast, il du du exploiter une faille Windows, ou d'un logiciel qui tournait en tant qu'admin du domaine, voir il a récupéré le mot de passe dans les logs accessibles a tous les utilisateurs (si, si ça s'est déjà vu, cf CVE-2015-5742).

Donc ok Avast s'est fait trouer.

"Je pige toujours pas comment ce genre de chose est possible... Surtout dans une boite soi-disant chargée de sécurité..."

Le risque 0 n'existe pas, maintenant il est vrai que le manque de suivi des comptes VPN est assez surprenant, et pour l'élévation de privilège, a moins qu'il n'ai eu recours a un zéro day, cela peut indiquer un problème de mise à jour. Cela étant dit, il est probable que d'autres entreprises n'auraient rien vu du tout, laissant l'attaquant opérer pendant des mois sur le réseau.
A priori, il ont réussi a comprendre et endiguer l'attaque avant que CCleaner ne soit vérolé, ce qui aurait bien entendu été dommageable pour tous ses utilisateurs.
Le #2081901
Célébrez Fête de Halloween en toute sécurité
Félicitation ! Vous venez de souscrire à l’offre PureVPN 5 ans !
PureVPN à seulement 1,32 €/ mois pour un abonnement 5 ans
Souscrire à nos offres exceptionnelles
https://www.purevpn.fr/achetez
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme