A empresa Avast publicou hoje em seu blog instruções para quem tem o CCleaner instalado em seu computador: a principal é que não é preciso nem aconselhável restaurar o Windows para um ponto anterior ao dia 15 de Agosto de 2017. O principal é a atualização do produto. Dona da inglesa Piriform, produtora do CCleaner, a Avast publicou hoje um extenso post em seu blog com detalhes sobre o incidente de segurança relacionado ao produto: o presidente Vince Steckler e o vice e CTO Ondrej Vlcek assinam o texto. A aquisição da Piriform aconteceu em 18 de Julho e segundo o post de hoje a invasão dos servidores da Piriform havia acontecido antes disso: “Os maus elementos provavelmente já estavam no processo de entrar nos sistemas da Piriform. O comprometimento pode ter começado em 3 de Julho. O servidor havia sido provisionado antes em 2017 e o certificado SSL para a respectiva comunicação https tinha um timestamp de 3 de Julho de 2017. Suspeitamos fortemente que a Piriform estava sendo atingida enquanto ainda operava como empresa isolada, antes da aquisição pela Avast”.
O comprometimento foi feito por meio de algumas linhas de código na versão 5.33, publicada em 15 de agosto. O post de hoje comenta que graças à sofisticação desse ataque ele ficou durante quatro semanas sem ser notado por qualquer empresa de segurança. A Avast foi avisada do problema no dia 12 às 12:35 horário de Brasília, por uma empresa de segurança americana chamada Morphisec: “Foi aberta uma investigação imediatamente. Quando mais tarde recebemos uma notificação também da Cisco já havíamos analisado profundamente a ameaça, avaliado o nível de risco e trabalhado com as forças policiais dos EUA para investigar o caso”. O servidor de CnC (comando e controle) foi derrubado no dia 15 às 13h50 (hora de Brasília).
Para resolver o problema no lado dos clientes, foi primeiro verificado se a versão mais nova (5.34) estava contaminada – mas não estava. A seguir, foi preparada a versão 5.33.6163: idêntica à comprometida mas sem o backdoor. Ela foi enviada aos usuários que tinham update automático. A seguir, foi enviado um aviso aos usuários restantes para que atualizassem o produto manualmente.