L’équipe de Threat Intelligence Cisco Talos vient de mettre à jour la distribution massive d’une backdoor malicieuse via CCleaner
2 min read
Tout comme avec l’attaque Nyetya cet été , les hackers démontrent leur capacité à exploiter de nouveaux véhicules pour diffuser des malwares de manière massive.
Le mode de distribution des menaces est en pleine mutation
« Ca n’est pas la première fois que les hackers cherchent à exploiter les mises à jour logiciel. En 2012, le malware Flame aurait falsifié le mécanisme de mise à jour Windows. En 2014, Le trojan Havex a été distribué via des paquets d’installation de logiciels compromis. En 2016, une barre d’outils de navigateur célèbre avait été exploitée pour distribuer des malwares cachés à l’insu de ses utilisateurs. » déclare Martin Lee de chez Cisco Talos.
Les techniques de protection de base, comme ne pas cliquer dans un e-mail suspicieux ou éviter les sites réputés malveillants ne suffisent plus à protéger les utilisateurs, puisqu’ils peuvent être victimes de logiciels légitimes à leur insu.
Ainsi, l’agence Reuteurs reportait dès hier que les 2.27 millions utilisateurs de la version compromise CCleaner v5.33.6162 et les 5.000 de la version CCleaner Cloud v1.07.3191. étaient susceptibles d’avoir été atteints par un malware.
Malgré l’importance de ces chiffres, on ne sait aujourd’hui dire de quelle origine est l’attaque ni quel est son objectif final. Les investigations sont en cours. Voir l’article complet de Talos Intelligence
A ce stade, Cisco recommande de restaurer sa configuration telle qu’elle existait avant l’installation du logiciel.
Les éditeurs de logiciel légitime doivent être extrêmement vigilants
Cette attaque met en évidence la responsabilité des éditeurs de logiciel légitime pour protéger de manière extrêmement sérieuse l’accès à leur code source. En cas d’attaque, ils doivent être également irréprochables en terme de réaction et de remédiation.
A ce titre, Cisco met à disposition une méthodologie exhaustive, Cisco Secure Development Lifecycle (SDL) qui consiste en une suite de processus réitérables et mesurables conçus pour renforcer la résilience et la confiance dans ses produits. Voir ici
Un « coup en 2 bandes » dont peuvent pâtir les entreprises
Concernant cette faille, les particuliers sont les premiers touchés car CCleaner est un logiciel gratuit grand public.
Néanmoins, les politiques BYOD (Bring Your Own Device) des entreprises encouragent les salariés à utiliser leur propre matériel mobile au sein de leur environnement professionnel. C’est ainsi que les malwares peuvent atteindre les réseaux d’entreprise.
Preuve est faite, qu’il est indispensable de protéger l’ensemble du périmètre de l’entreprise, du cloud au réseau en passant par les terminaux. Les solutions NaaS (Network as a Sensor) peuvent permettre d’obtenir une visibilité totale sur les mouvements réseau et de protéger ainsi un large périmètre. Il s’agit du Réseau Intuitif qui constitue aujourd’hui la vision architecturale de la sécurité par Cisco.