Am Puls von Microsoft

CCleaner: Avast muss nun doch einen gezielten und schweren Angriff einräumen – Update 1

CCleaner: Avast muss nun doch einen gezielten und schweren Angriff einräumen - Update 1

Was zunächst noch als ein zumindest relativ begrenzter Angriff begann, entwickelt sich nun nach weitergehenden Untersuchungen immer mehr zu einem großen Sicherheitsvorfall. In einer ersten Reaktion vom 19. September sprach Avast im hauseigenen Blog noch davon, dass der Angriff auf Nutzer des CCleaners kaum oder keinen Schaden verursacht hat. Angegeben wurde die maximale Zahl der betroffenen Installationen mit 2,27 Millionen, wobei zum vorhandenen Zeitpunkt noch rund 730.000 Nutzer die betroffene Version 5.33.x des CCleaners installiert hatten. Nachdem nun unter anderem der stillgelegte Command-and-Control-Server in den USA näher analysiert wurde, entwickelt sich die Sache für Avast und Piriform zunehmend zum Supergau.

Wie Avast nun in einem zweiten Blogpost mitteilte, wurde die zweite Spionagekomponente neben dem Downloader, welcher sich in der eigentlichen ccleaner.exe befand, einfach deswegen nicht entdeckt, weil die Angreifer es nie auf den kleinen Nutzer abgesehen hatte. Tatsächlich handelte es sich dabei nach aktueller Faktenlage um einen Angriff auf große Unternehmen, wo auch auf mehreren hundert Rechnern die zweite Komponente installiert wurde. Über die Namen der betroffenen Unternehmen sowie mögliche Schadensbilanzen machte Avast keine Angaben, allerdings haben die Angreifer wohl einfach gehofft, dass ein so weit verbreitetes Programm wie der CCleaner auch auf Unternehmensrechnern zum Einsatz kommt.

Schwere Versäumnisse im eigenen Haus

Aber auch für Avast selbst ist die aktuelle Entwicklung ein Desaster. Die Frage, wie es überhaupt zu der Manipulation der Installationsdateien kommen konnte, ist bislang ungeklärt. Was das Problem aber besonders dramatisch macht, ist die Tatsache, dass die verseuchten Installer vom eigentlichen Entwickler korrekt signiert wurden. Eine Überprüfung der Checksumme mit einem Tool wie HashTab oder Gpg4Win hätte also keine zusätzliche Sicherheit geboten und den Angriff verhindern können. Piriform hat mittlerweile CCleaner 5.35 nachgeschoben, die das vorhandene Zertifikat austauscht. Als eine Maßnahme, um solche Angriffe in Zukunft zu unterbinden, soll Piriform nun umfassend in das zentrale Avast-Netzwerk integriert werden. Avast empfiehlt außerdem (ironischerweise…), ein Qualitäts-Antivirenprodukt wie Avast Antivirus stets installiert und auf dem aktuellen Stand zu haben.

Wer wegen des Vorfalls jetzt Avast und Piriform das Vertrauen komplett oder zumindest vorübergehend entziehen will, sollte ein paar Punkte beachten.

  1. Neben CCleaner gehören zu Piriform auch noch der Systemmonitor Speccy, die Datenwiederherstellung Recuva und das Defragmentierungswerkzeug Defraggler. Wer diese installiert hat, muss diese dann mit entfernen.
  2. Zum Firmengeflecht von Avast gehört inzwischen auch der ehemalige Konkurrent AVG, der ebenfalls seine (ehemaligen) TuneUp Utilities als AVG TuneUp in die Ehe eingebracht hat.
  3. Seit geraumer Zeit liefert Avast zumindest bei den kostenpflichtigen Varianten nicht nur Erweiterungen für die etabliertesten Browser, sondern oft auch zusätzliche Software mit. Häufig ist zum Beispiel der hauseigene Browser Avast SafeZone dabei, der auf Opera basiert.

Update 1

Laut einem Artikel bei Golem sind unter anderem Sony, Cisco, VMWare, Microsoft, Intel und der deutsche Automatenhersteller Gauselmann betroffen.

Über den Autor

Kevin Kozuszek

Kevin Kozuszek

Seit 1999 bin ich Microsoft eng verbunden und habe in diesem Ökosystem meine digitale Heimat gefunden. Bei Dr. Windows halte ich euch seit November 2016 über alle Neuigkeiten auf dem Laufenden, die Microsoft bei seinen Open Source-Projekten und der Entwicklerplattform zu berichten hat. Regelmäßige News zu Mozilla und meinem digitalen Alltag sind auch dabei.

Anzeige