CCleaner : Un Code malveillant découvert (Trojan.floxif)

[Parisien_entraide]

Oui c'est courant, mais là ils ouvrent la porte en grand, comme si ils disaient "Voyez, il y a un appel dans le sous dossier wbem32 qui ne se fait pas, et vous pouvez y placer une librairie. Elle paraîtra légitime puisque demandée par le programme

Sinon pour modérer les propos de https://www.undernews.fr/hacking-hackti ... irate.html, il faut savoir que depuis le 1er Octobre, ils ont embauché Jaya Baloo, en tant que responsable de la sécurité des systèmes d’information (RSSI)

2019-11-01_103733.png

Dès son arrivée elle a déterminé qu'il y avait 2 gros soucis dans cette histoire

_ un compte VPN sans authentification forte, preuve d’un dysfonctionnement dans la gestion des comptes internes.

- "une mauvaise interprétation des alertes de sécurité qui a fait perdre un temps précieux. Le 23 septembre, les équipes d’Avast remarquent des incohérences dans les logs de connexion. Ils voient un utilisateur sans aucun droit particulier se connecter en VPN sur un contrôleur de domaine Active Directory, et cela depuis un Mac. Cette action, trop curieuse pour être vraie, a d’abord été jugé comme un faux positif, une erreur dans les logs."

L'attaquant utilisait une machine virtuelle Mac et a effectué une élévation de privilèges pour accéder au contrôleur de domaine

Jaya Baloo a donc stoppé la production logicielle et à vérifié sur les 6 derniers mois que les produits n'étaient pas corrompus.

De nouveaux certificats ont été créés remplaçant les anciens qui ont été révoqués. Une mise à jour d’urgence, et donc automatique, de CCleaner a été diffusée.

Ensuite, le compte VPN temporaire a été fermé. « C’était la chose qu’il fallait faire en dernier, pour ne pas attirer l’attention de l’attaquant », explique Jaya Baloo.


REPARTIR DE ZERO

Parallèlement, il a fallu assainir l’environnement. Tous les identifiants ont d’ores et déjà été réinitialisés, mais ne n’était pas suffisant.

Les équipes de sécurité ont commencé à passer à la loupe les téraoctets de logs dont ils disposent, un travail fastidieux qui est toujours en cours.

Un nouveau réseau a donc été créé, qui ne connecte pour l’instant que les équipes de sécurité et la direction. Par la suite, ce réseau deviendra le nouveau réseau bureautique qui interconnectera tous les salariés d’Avast.

« Nous allons également garder une partie de l’ancien réseau qui servira pour la recherche de malwares. Ces deux réseaux seront totalement séparés, en s’appuyant notamment sur l’utilisation de machines virtuelles », précise la RSSI.

Sur le nouveau réseau, la surveillance des flux sera considérablement renforcée, avec notamment une analyse en profondeur des paquets (Deep packet inspection).

Source : https://www.01net.com/actualites/commen ... 94395.html

[Malekal_morte]

Après à la décharge d'Avast! qui a racheté Piriform, c'est pas toujours simple de reprendre un SI fait par d'autres.

[Parisien_entraide]

On peut lier ce sujet à viewtopic.php?f=11&t=64256&p=478935#p478935

Sinon concernant le contournement, c'est effectivement courant, mais là ils facilitaient la tâche du contournement pour les débutants :-)

[Parisien_entraide]

Décidemment...Ils n ont pas de chance avec CCleaner

Windows Defender détecte CCleaner en PUA:Win32/CCleaner

viewtopic.php?f=11&t=66569

Normal en fait