Hackers hebben een achterdeur gebruikt bij de installatie van de opruimsoftware CCleaner. Dat ontdekten onderzoekers van Cisco Talos. Daardoor kunnen computers besmet worden met kwaadaardige software.
CCleaner wordt gemaakt door het bedrijf Piriform, dat in juli werd overgenomen door antivirussoftwaremaker Avast. Het programma helpt gebruikers om hun computer op te ruimen, bijvoorbeeld door tijdelijke bestanden te verwijderen.
De onderzoekers van Cisco Talos ontdekten dat bij versie 5.33 van de software, ook andere software werd geïnstalleerd. Deze versie van de software was vanaf 15 augustus te downloaden van de officiële website. Cisco Talos ontdekte de kwaadaardige software op 13 september, waarna het Avast op de hoogte stelde.
Een dag daarvoor stelde maker Piriform versie 5.34 van de software beschikbaar. In deze versie is de kwetsbaarheid niet terug te vinden. Ook in versie 1.07 van CCleaner Cloud was de kwetsbaarheid te vinden. Daarvoor is inmiddels ook een update beschikbaar.
De meegeïnstalleerde malware verzamelde informatie over de computer. Het ging onder meer om de naam van de computer, zijn unieke MAC-adres en geïnstalleerde software. Daarnaast kon de software gebruikt worden om in de toekomst andere malware te installeren.
Impact
CCleaner is volgens Piriform in totaal dan 2 miljard keer gedownload. Momenteel gebruiken 130 miljoen mensen een variant van de software, beweert het bedrijf. Dat maakt de potentiële impact van de kwetsbaarheid groot. Zelfs als een fractie van de getroffen gebruikers is getroffen, kan het gaan om miljoenen apparaten.
Gebruikers worden daarom geadviseerd om zo snel mogelijk te updaten naar versie 5.34. De gratis versie van de software biedt volgens Piriform géén automatische updates. Gebruikers moeten de update daarom mogelijk handmatig uitvoeren. CCleaner Cloud is volgens het bedrijf automatisch geüpdatet.
Piriform heeft in een blog zijn excuses aangeboden voor de kwetsbaarheid. Het bedrijf beweert dat de kwetsbaarheid weinig kwaad heeft kunnen doen, maar zegt niet hoe vaak de besmette versie 5.33 is gedownload.