[English]Seit einer Woche bin ich ja am "Verdachtsfall" AnyDesk-Hack dran, der sich am Freitag, den 2. Februar 2024, als "stattgefundener, erfolgreicher Cyberangriff" bestätigte. Zum Wochenende habe ich dann meine Erkenntnisse in vier Artikeln aufbereitet (siehe Links am Artikelende). Nun möchte ich in einer Art Nachlese noch einige Gedanken und Hinweise für die Leserschaft nachschieben.
Anzeige
AnyDesk wurde gehackt
Der Sachverhalt in Kurz: Der Anbieter der Fernwartungssoftware AnyDesk ist Opfer eines Hacks geworden, bei dem auch die Produktivsysteme betroffen waren. Ransomware schließt der Anbieter aus, bestätigt aber, dass Angreifer in seinen Systemen unterwegs waren. Details habe ich im Artikel AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen (Teil 1), soweit der Anbieter diese offen gelegt hat, sowie einige Hintergründe (aus meiner Sicht) aufbereitet.
Obige Abbildung zeigt nochmals den Inzidenzbericht von AnyDesk im Screenshot. In weiteren Teilen (siehe Verlinkungen am Artikelende) wurden weitere Informationen von mir aufbereitet. Nachfolgend noch einige Bemerkungen und Informationen für meine Blog-Leserschaft.
Offenlegung Freitag 22:44 Uhr?
Den ersten Punkt, den ich aufgreifen möchte, betrifft den Ablauf der Offenlegung des Sicherheitsvorfalls. Zur BSI-Warnung hatte ich ja im Beitrag AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2 was geschrieben – mag gute Gründe für das Ganze geben – müssen andere bewerten. In AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen – Teil 1 hatte ich aber skizziert, dass ich seit Tagen dem Verdacht auf einen Cyberangriff nachging.
Ich kann verstehen, dass bei AnyDesk Aufruhr herrschte, und sich sehr gut überlegt wird, wie und wann die Öffentlichkeit informiert wird. Aber seit dem 1. Februar 2024 gab es ein Angebot einer AnyDesk-Führungskraft, ein Gespräch mit dem CEO wegen des Vorfalls mit mir zu vermitteln, welches am Freitag, den 2. Februar 2024 den gesamten Tag nicht zustande kam. Gut, ich bin nicht "der Nabel der Welt" und die haben keinerlei Verpflichtung mit mir überhaupt und zeitnah zu sprechen.
Irgendwann habe ich Freitag am späten Nachmittag das Büro zu verlassen und dies AnyDesk so kommuniziert. Ich hatte in der Mail um eine kurze Einstufung gebeten, wen der Cyber-Incident betrifft (on-premises Hosting oder Cloud-Nutzer) und was die Kunden beachten sollten bzw. tun können. Es hieß "Wir werden heute eine Pressemitteilung machen, wir senden sie Ihnen vorher." So gegen 22:30 Uhr bin ich schlicht schlafen gegangen – und habe dann am Samstag, den 3. Feb. 2024 gegen 3:00 Uhr gesehen, dass am 2.2.2024 um 22:44 Uhr eine Mail mit der obigen AnyDesk Incident Response 2-2-2024 eingetroffen war.
Sicherheitsforscher Jake Williams hat es in obigem Tweet in seinen "Bemerkungen zum AnyDesk-Vorfall" aufgegriffen. O-Ton:
Anzeige
Das sollte nicht an einem Freitagnachmittag veröffentlicht werden, wenn die Systeme schon vor Tagen vom Netz genommen wurden. Dies ist ein PR-Schachzug. Unternehmen, die transparent sind, machen so einen Blödsinn nicht.
Im Schwabenländle sagen die Leute "das hat aber schon Geschmäckle". Lassen wir das mal so stehen.
Die Offenlegung als Witz
Ich möchte nochmals auf einen weiteren Aspekt abstellen, der mir aufgefallen ist – ich hatte es ja bereits Beitrag AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2 angesprochen. Der Inzidenz-Report enthält keinerlei Zeitangaben, wann was passierte ist. Generell ist das Ganze schlicht ein Witz und PR-Geklimper – zugeben, was nicht mehr zu leugnen ist.
So bleibt jede Menge Unsicherheit bei Betroffenen und Spekulationsmöglichkeit für Beobachter zurück. Auszug aus der Datenschutzerklärung der AnyDesk: "Der Erfolg unserer Produkte hängt nicht zuletzt davon ab, dass unsere Kunden auf die Sicherheit und den Schutz Ihrer Daten vertrauen können." Das ist eine Botschaft und ein Versprechen.
Auch wenn vermutlich keine Kundendaten beim Zugriff auf die Produktivsysteme bei AnyDesk abgeflossen sind, also keine Kundeninformationen per DSGVO erforderlich ist, ist das alles andere als "good practice". Bis zum Schreiben dieses Artikels ist keinerlei Hinweis auf der AnyDesk-Webseite oder auf deren Statusseite zum Cybervorfall für Besucher zu sehen. Man muss den Deep-Link zum Bericht kennen, um über den Vorfall informiert zu werden.
Jake Williams greift die obigen Gedanken in mehreren Tweets auf und schreibt dazu, dass alleine dieses Verhalten eines von zwei Dingen bedeutet:
- AnyDesk befolgt keine guten Sicherheitsverfahren für die eigene Entwicklungsumgebung,
- oder das Ausmaß dieses Eindringens ist viel größer als angenommen.
Dann gibt er in der oben gezeigten Folge von Tweets diverse Empfehlungen an die AnyDesk-Verantwortlichen sowie an jeden Nutzer von AnyDesk (wobei viele nicht wissen, dass sie Nutzer sind, weil AnyDesk in irgendwelchen Software-Paketen auf die Systeme kommt. Hier mal ein Abriss der Empfehlungen von Williams samt einigen Einfügungen von mir:
- Williams: Ändern Sie Ihre Passwörter und alle Anmeldeinformationen, die für AnyDesk zugänglich sind. Das Risiko ist es nicht wert. GB: Meiner Beobachtung nach klappte das für das AnyDesk-Kundenportal am Wochenende eher schlecht als Recht. Beim AnyDesk Portal I wurden die Leute nicht zum Passwort-Wechsel aufgefordert, nur beim AnyDesk Portal II, wobei es dort einige Irritationen gab, die in den Kommentaren im Blog und in meinen Sozial-Media-Beiträgen hinterlassen wurden. So gab es Berichte, dass dabei 2FA abgeschaltet wurde, oder neue Kennwörter nie über E-Mail-Bestätigungen verifiziert wurden. Falls Zugangsdaten und Kennwörter beim Hack abgezogen wurden, könnten Dritte die Benutzer durch Kennwortänderung aussperren.
- Williams: Suchen Sie in Ihrer Umgebung überall dort, wo Sie AnyDesk installiert haben, nach anomalen Aktivitäten mindestens in den letzten 30 Tagen. Wenn der Eindringlingsvektor nicht weitergegeben wird, müssen Sie davon ausgehen, dass er noch nicht bekannt ist. Selbst wenn sie es wissen, lässt sich in der Regel nicht genau sagen, worauf zugegriffen wurde.
Gerade der letztgenannte Punkt ist die Krux, die Verlautbarung von AnyDesk und die Versicherung, dass man alles im Griff habe, ist schlicht nichts wert. Ich weiß nicht, wann was passiert ist, was genau betroffen war und welche potentiellen Ausmaße des annehmen kann. AnyDesk behauptet, mit CrowdStrike den Vorfall aufgearbeitet zu haben. Ergo müsste ein Abschlussbericht vorliegen, den aber niemand kennt. Transparenz sieht anders aus. Beim Fall der Südwestfalen IT hatte die Agentur für Krisenkommunikation mir den Forensik-Bereich ohne Auflagen zur Verfügung gestellt. Ich hatte die Erkenntnisse dann in zwei Beiträgen aufgegriffen (siehe Links am Artikelende). Ob das von AnyDesk so gehandhabt wird, müssen die entscheiden.
Die Nutzerschaft steht im Regen
Man kann den Fall auf die obige Überschrift reduzieren. Niemand weiß nichts genaueres, wo er hinschauen und wie weit er bei der Betrachtung von Logs in die Vergangenheit zurückgehen muss. Aktuell sehe ich für Administratoren und Nutzer nur folgende Sofortmaßnahmen:
- Sofern ein Kundenkonto bei AnyDesk besteht, dessen Kennwort vorsorglich ändern und prüfen, ob eine 2FA aktiviert werden kann.
- Wenn bei AnyDesk-Clients Kennwörter für Dauerzugriffe verwendet werden, diese vorsorglich ändern und andere Kennwörter als für den Portalzugang bei AnyDesk verwenden. Das Thema dürfte vor allem bei Supportern für Kopfschmerzen sorgen, die AnyDesk-Clients in großer Anzahl bei Kunden für Fernwartung ausrollen und mit einem Zugriffspasswort versehen haben.
- Sperren das Zugriffs auf alle AnyDesk-Clients auf den Endpunkten. Das dürfte der tückischste Punkt werden, da einerseits viele Szenarien dann funktionale Einschränkungen bedingen. Andererseits wissen womöglich viele Nutzer und Administratoren nicht, dass AnyDesk-Clients überhaupt installiert sind.
- Die Zugriffsprotokolle bei AnyDesk in den Logs und auch auf den Endpunkten (z.B. Windows) durchgehen, ob es in den letzten 30 Tagen irgendwelche Zugriffsversuche gegeben hat, die so nicht hätten stattfinden sollen.
Sind alles recht allgemeine Hinweise, die eine Menge Arbeit erfordern, aber eigentlich notwendig sind – es sei denn AnyDesk legt endlich mehr Details offen, damit beurteilt werden kann, was Sache ist. Dann ließe sich der Prüfaufwand möglicherweise begrenzen.
Prüft, ob AnyDesk auf Endpunkten vorhanden ist
Was Administratoren aber in meinen Augen auf jeden Fall machen sollten, wäre eine Suche über ihre Systeme nach anydesk*.exe, um festzustellen, ob da irgendwelche Versionen des AnyDesk-Clients, ggf. im Beifang einer installierten Software, mit gekommen sind. Im Beitrag AnyDesk-Hack Undercover – Verdachtsfälle und mehr – Teil 3 hatte ich eine Yara-Regel erwähnt, die prüft, ob AnyDesk-Clients mit problematischen Signaturen vorhanden sind. Nutzer Zock weist hier aber darauf hin, dass die Prüfung unvollständig sei.
Was mir aktuell auch durch den Kopf geht, ob ich einen separaten Beitrag im Blog einstelle, wo Anwendungen von Drittanbietern gesammelt werden, die AnyDesk als Fernwartungsclient integrieren. Baramundi, eine unbekannte ERP-Software und die im Gesundheitswesen beim TI-Konnektor aktive CGM wurden ja in den Artikeln meiner Artikelreihe bereits genannt.
Prüft bei Funden die Client-Version
Bei Funden ist zu prüfen, ob der Client die neueste Version mit digitaler Signierung durch AnyDesk beinhaltet. Hier scheint es aber massiv Unklarheiten zu geben, weil von OEM mitgelieferte Clients noch auf der Version 7.x hängen und mit einem Zertifikat von "philandro Software GmbH" signiert sind. Da gibt es aber den Verdacht, dass die privaten Schlüssel für das Zertifikat beim Hack abhanden kamen. Der Client 8.0.8 für Windows ist ja mit einem neuen Zertifikat der AnyDesk GmbH signiert – Bleeping Computer hat hier die Informationen zu den Details der Zertifikate veröffentlicht.
Entscheidet, ob der Client ausgeführt werden darf
Ist geklärt, dass der AnyDesk-Client auf Endpunkten vorhanden ist und welche Version dieser hat, liegt die Entscheidung an, ob eine mögliche Kompromittierung stattgefunden haben könnte, und ob ein Update möglich ist. Beim Fall des Updates ist zu klären, welche Update-Möglichkeiten es gibt, ob die neue Version des Clients von der Endpoint-Security akzeptiert wird (einige Virenscanner blockieren die Clients bereits) und ob die neue AnyDesk-Client-Version noch "trustable" ist.
Einmal scheint es beim Thema Update aktuell einfach technische Probleme zu geben (Masse der Anfragen, bestimmte Sachen bei Custom-Clients gehen nicht, siehe die anderen Teile der Artikelreihe). Zudem habe ich am Wochenende eine Reihe Mitteilungen von Administratoren bekommen, die die Ausführung des Clients aus Sicherheitsgründen komplett blockieren.
Artikelreihe:
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen – Teil 1
AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2
AnyDesk-Hack Undercover – Verdachtsfälle und mehr – Teil 3
AnyDesk-Hack Undercover – Zugangsdaten zum Verkauf angeboten – Teil 4
AnyDesk-Hack – Eine Nachlese – Teil 5
AnyDesk-Hack – Nachlese der BSI-Meldung – Teil 6
AnyDesk-Hack – Hinweise zum Zertifikatstausch bei Customs-Clients 7.x – Teil 7
AnyDesk-Hack – Weitere Informationen vom 5. Februar 2024 -Teil 8
AnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt? – Teil 9
AnyDesk-Hack zum Dezember 2023 bestätigt; Altes Zertifikat zurückgerufen – Teil 10
AnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten? – Teil 11
AnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen? – Teil 12
Ähnliche Artikel:
Störung bei AnyDesk, jemand betroffen?
AnyDesk und die Störungen: Es ist womöglich was im Busch
Leidiges Thema AnyDesk, die Lizenzen und deren 7.1-Client …
AnyDesk-Probleme: Stellungnahme des Herstellers und weitere Insights
Nach AnyDesk Ärger nun RustDesk offline?
Fernwartungssoftware-Anbieter Anydesk gehackt (Artikel bei Golem)
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 2
Golem-Artikel: Erkenntnisse zum Cybervorfall bei Südwestfalen-IT
2015
Leider wird es wie so oft nicht wirklich Konsequenzen haben. Vielleicht kostet es ein paar Kunden, aber danach wird wieder business as usual gefahren…… ist ja nichts neues…..
Ich kann mich nur nochmals bei Ihnen bedanken. Ihr Blog ist immer ein aktueller Quell für zeitnahe ungeschönte und sachliche Informationen. Von 0-Day Exchange bis Anydesk immer wertvoll! Danke Vielmals für die Arbeit.
Zu Anydesk: Auch heute 5.02.2024 gab es noch keine Information an zahlende Kunden. Nicht mal eine Begründung während des Passwort-wechsels im myAnydek I Portal.
Es ist immer noch nur der alte Client 7.0.14 mit dem alten Zertifikat für fortlaufend zahlende Kunden einer älteren Lizenz verfügbar.
Die Performance von AnyDesk ist hier nicht besonders, und selbst wenn jetzt noch herauskommt, dass Systeme mit installiertem Client eigentlich nie in Gefahr waren hat man es meiner Meinung nach geschafft durch die Informationspolitik einfach das Vertrauen ins Unternehmen zu beschädigen!
Hi, gute Blog, danke.
@first wer Schreibfehler findet darf sie behalten. T9 ist genauso dumm wie AI 😆
Aber mal ganz ehrlich, schon Teamviewer war in Bezug auf Datenschutz eine Katastrophe, beim Adesc ist es genau so, kein einziger Client wird bei beenden automatisch als Task gelöscht, gefordert habe ich das schon 2018, ganz bewusst passiert das nicht. Die anfängliche ständige Nachfrage zur Installation des Client und die Zentrale Spionage zur Verfügbarkeit der verbundenen Client….
Zugegeben, die ad hoc Verbindung dieser Lösungen ist gut, aber warum wenn, man wirklich seriös sein will, beim Beenden nicht alle Verbindungdaten löschen ?
Wer wirklich stehende Verbindungen braucht soll sicher Tunnel einrichten, das führt kein Weg vorbei, bei ad hoc hilf der immer darauf achten dass Adesc beim Beenden komplett inaktiv ist.
Meine Benutzer Version ist immer noch 4.xxxx, alle weiteren Funktionen sind Humbug.
Adesc ist in der Sache genauso gefährlich wie alle anderen nicht Punkt zu Punkt Lösungen über Vermittlungsserver.
Ach ja, meine any*.exe heißt seit der ersten Stunde ganz anders… Und wird Firewall überwacht. Schon erstaunlich wo zu die immer hin greift.
Beste Grüße
P.S. bis heute hat Adesc nichts mitgeteilt, der Passwort-Wechsel im my.xxx wurde ohne Erklärung vorgenommen. Nicht auszuhalten was bei denen passiert wenn ich die 2 Faktor auch noch benutze und die vorsichtshalber dann auch ohne Erklärung zurückgesetzt wird….
Was mir noch etwas kurz kommt:
– die Suche nach anydesk*exe muss nicht zwangsläufig zum Erfolg führen, die Software kann auch unter anderem Namen verbaut sein
– was sind die Logs wert wenn das System kompromittiert ist? Taugen die dann überhaupt oder sind die Fake?
– ist die ganze Infrastruktur von Anydesk noch zu gebrauchen bzw. traut man dieser noch?
– inwieweit ist das eigene Netzwerk sicher wenn die Software aktiv war
Ich habe im Januar einmal Anydesk verwendet privat, die Anwendung lief nie im Hintergrund. Dennoch habe ich das System am Sonnabend komplett frisch aufgesetzt. Ob das überhaupt notwendig war weiß ich nicht. Dafür fehlen schlichtweg auch die Anhaltspunkte. Es war allerdings eine Maßnahme um mir etwas Ruhe zu verschaffen. Dazu bei den wichtigsten Diensten Passwortwechsel, etc.. Alles andere wird die Zeit zeigen. Nachhaltig hat es bei mir auf jeden Fall etwas bewegt im Umgang und Vertrauen zu Computer und Co.. Gerade auch in der Arbeit. Man geht mit mehr Achtung und Vorsicht an Dinge ran. Mehr noch als sowieso schon.
ich hab mir mal die Zeitleiste angesehen:
Der 8.0.6er ist am 9.11.23 mit dem philandro Zertifikat signiert worden, welches noch bis 9.1.25 gültig ist.
Der 8.0.8er ist am SAMSTAG! den 27.1.24 mit dem AnyDesk Zertifikat signiert worden, welches erst am 24.1.2024 ausgestellt worden ist.
MMn bedeutet das, das Sie es mindestens seit 23.1. wußten …
Im Endeffekt könnte der Zertifikatswechsel auch in einem response-Plan stehen und durchgeführt werden noch bevor man überhaupt weiß ob das Zertifikat komprommitiert wurde oder nicht. Eventuell wurde es gar nicht abgezogen, aber aller vermuten es weil eben ein neues ausgerollt wurde. Vielleicht stand sowieso ein Wechsel an nachdem das Alte bis 2025 läuft.
Läuft alles auf eines hinaus, je länger man sich nicht konkret mit Details äußert desto mehr Raum gibt es für Spekulationen.
Gibt es diese Zertifikate überhaupt "lose"?
Wir setzen zum Signieren unserer Programme ein EV Zertifikat von GlobalSign ein, welches auf einem "SecureNet USB Token" kommt – wenn ich den Prozeß halbwegs richtig verstehe, verläßt der private Key niemals dieses Token.
Von daher wäre es höchstens möglich, daß die Angreifer in der Produktivumgebing von AnyDesk eine neue EXE gebaut und signiert haben. Dazu braucht man zwar theoretisch auch eine PIN, aber Build-Prozeß läßt sich über ein Script automatisieren.
Auf der Homepage (https://shop.globalsign.com/de-de/code-signing) sehe ich neben dem Token auch noch ein Hardware-Security-Module und Azure Key Vault, aber nichts, was nur auf (kopierbaren) Dateien basiert.
Zum Ausstellungszeitpunkt 2021: ja …
Hat sich, glaub ich, seit Mitte 23' geändert.
Ich hab auch schon SW Repo's gesehen wo das Zertifikat mit drin war, und das Passwort dafür im Build Script stand …
Genau deswegen der Zwangswechsel zu HSM's …
Ja, So kenne ich das auch.
Das der Private Key auf irgendeinem Netzwerk share rum liegt ist eigentlich Murks.
Wir wissen aber nur, das das Zertifikat erneuert wurde und das die Kunden ganz ganz leise aufgefordert wurden, die neu signierte Version zu installieren oder zu verwenden, weil das bisherige Cert, das ja noch 1 Jahr gültig wäre, vorzeitig für ungültig erklärt werden wird…
Absolut unprofessionelles Vorgehen auf der Informations Ebene. Vielleicht wollte man dem Vorbild Teamviewer folgen, der 2016 auch irgendwie ein Problem hatte, was aber erst 2019 bekannt wurde.
Es war wohl nur ein völlig erfolgloser Versuch, der schon in den Anfängen Angefangen werden könnte, also nicht Meldepflicht war.
Hier wissen wir auch nicht klar, ob da wirklich Private Schlüssel abgezogen wurden, oder ob die Key Erneuerung einfach nur "best practice" war, weil nicht sicher war, ob der Key abgezogen werden konnten oder ob das eh geplant war?
Vielleicht merkt auch die PR Abteilung von AnyDesk, das man nicht Nicht-Kommunizieren kann…
Das Porzellan ist jedenfalls zerschlagen.
Vielleicht lässt es sich noch mit einem offenen und ehrlichen, vollständigen Abschluss-Bericht kitten?
Die Incident Response ist ein Witz und ein Schlag ins Gesicht aller Anydesk Nutzer. Wenn es nach mir ginge, müßte der Laden spätestens nächsten Monat Insolvenz anmelden und das völlig zurecht. Das BSI hat sich unter neuer Leitung nicht gerade mit Ruhm bekleckert, ganz im Gegenteil. Auch der Institution kann man nicht mehr vertrauen. Ich kann nur warnen, Software für Remotezugriff zu nutzen die nicht 100%ig auf eigenen Systemen bzw. solchen die man 100% unter Kontrolle hat laufen. Jemandes anderer Server dafür zu benutzen ist nur Dummheit.
Als Programmierer und gleichzeitig Supporter der Anwendung bei ~150 Kunden muss man Fernwartung benutzen. Obendrein eine, welche auch eine Bürokraft leicht verwenden kann. So gesehen, kann ich Maximalforderungen nicht nachvollziehen. Immer muss gleich ein "Laden" pleite gehen und wer andere Server verwendet ist schlicht dumm.
Ok, die Kommunikation der Firma war wohl schlecht. Doch Günter konnte soviel erklären, dass man eigene nötige Schritte machen konnte.
Das kann ich natürlich nachvollziehen – tun wir ja auch.
Problem ist halt, daß jeder Supporter "sein" eigenes Tool mitbringt.
Wir haben einen ganzen Zoo Fremdsoftware (sowohl im kaufmännischen als auch im CAD/CAM-Bereich), so daß ich je nach Lieferant Teamviewer (den wir auch selbst einsetzen), HPE MyRoom, LogMeIn, VNC, RDP (via VPN), Teams, Solarwinds und noch ein paar Exoten habe. Anydesk natürlich auch.
"Gute" Lieferanten legen eine (meist gebrandete) EXE auf den Desktop, die man im Supportfall starten kann, "schlechte" installieren den gleich ungefragt als Dienst (gerne auch im Profilverzeichnis des zur Wartung genutzten Users) und reagieren pikiert, wenn ich den nach Übergabe der Leistung erst mal wieder plattmache – es könnte ja mal ein Supportfall eintreten.
Außerdem muß man sich bei einem halben Dutzend Programme in die proxytauglichkeit und eventuell erforderliche Firewallfreigaben 'reindenken bzw. testen, was die Sache nicht leichter macht. Zumal manche dieser Programme Methoden zur Firewall-Durchtunnelung verwenden, die hart an das Verhalten von Malware erinnern und die entsprechenden Sensoren anschlagen lassen.
"Teil 3 hatte ich eine Yara-Regel erwähnt, die prüft, ob AnyDesk-Clients mit problematischen Signaturen vorhanden sind."
Dieser Check darf nicht auf die AnyDesk Produkte reduziert werden!
Die Kriminellen können ja mit dem Schlüssel beliebige andere Produkte signieren.
Auch wenn da "philandro" als Aussteller steht, wer kennt den Laden und würde das nicht abnicken?
Desweiteren sind die alten AnyDesk Versionen nicht irgendwie gefährlich geworden,weil der Schlüssel weg ist. Das ist vollkommener Unsinn und Panikmache.
Man muss aber auf die Version upgraden, die mit dem neuen Schlüssel signiert wurde, weil AnyDesk den alten Gestohlenen Schlüssel demnächst "in Kürze" für ungültig erklären wird.
Dieser Zusammenhang ist auch der Grund, das es keine neu signierte 7 X version gibt und auch die Linux macOS Versionen nicht erneuert werden.
Deren sign- Schlüssel waren wohl nicht auf den Komprimitierten Systemen. Das ist also keine Schlamperei von AnyDesk diese Software nicht neu zu signieren.
Es ist irgendwie schade das diese Zusammenhänge vielen nicht klar sind.
Da der Sourcecode auch gekloud wurde, können die Kriminelle natürlich neue Versionen der Anydesk Software erstellen,die bösartig ist.
Diese hat aber auf jeden Fall eine andere SHA-Prüfsumme und würde sofort auffallen.
Auch müssten die Täter ihre Version auf den Download Server von Anydesk gelegt haben.
Diese waren aber nicht verändert worden, sagt AD
Also bitte:
Alte Versionen der Anydesk Software stellen keine Gefahr da.
Alte Versionen unbedingt bei Headless remote systemrn jetzt erneuern. Sonst steht man in Kürze, weil Windows den Start des Clients nicht mehr zulassen wird,wenn der Schlüssel ungültig gemeldet wurde.
Das ist meine persönliche Meinung.
Ich kann mich natürlich täuschen und es ist wirklich gefährlich eine Software zu benutzen, deren Prüfsumme bekannt ist und der Zertifizierung nicht mehr vertraut werden kann.
Aber bis zum Beweis des Gegenteils halte ich das für Panik mache. Aber wie gesagt: Meine Meinung und vielleicht habe ich irgendwas mit dieser Software Signierung doch falsch verstanden, und korrekt signierte Software wird gefährlich, wenn der Schlüssel verraten wurde. Bitte klärt mich dann auf.
Danke.
Ich stimme in vielem zu, vor allem Panik war auch bei mir nie angesagt. Aber Vorsicht ist besser als Nachsicht. Vieles was aktuell falsch im Internet herumfliegt hätte durch offene Kommunikation vermieden werden können. Die Seriennummer des Zertifikats der max. erhältlichen 7.0.14 Clients zum Beispiel deckt sich mit der Seriennummer des angeblich gezogenen Zertifikates. Stimmt schon, die Software ist deswegen nicht kompromittiert, trotzdem ist es komisch, das dieses Zertifikat nicht angegriffen wird. Zumal man den Zugriff auf eine neuere Version ja nicht zulässt bei einer älteren Lizenz bei der man trotzdem jährlich Wartung zahlt…
Ich mag übervorsichtig sein, aber bei so einer mauen Kommunikation und der Timeline wird man einfach den Verdacht nicht los, das da mehr war als kommuniziert wurde. Und das, nicht das Zertifikat, macht einfach stutzig.
Also ich habe es bisher so verstanden, dass die 7.x an die Zahlkunden geht und deren Cert nicht erneuert werden muss.
Ich las nur von einer 8.0.8 die neu signiert wurde was auch in der History geloggt wurde.
Aber diese sei nicht mehr downliadbar, wohl aber die 8.0.6…
Was ist das für ein Wirrwarr.
paranoia-mode: on, full
Ob hier evtl. von interessierter Seite Desinformation betrieben wird?
paranoia-mode: normal
> Alte Versionen der Anydesk Software stellen keine Gefahr da.
Wenn du weißt, seit wann die Angreifer drin waren, dann kannst du eine solche Aussage vllt. treffen. So können die sich auch schon viel länger "umgesehen" haben und möglicherweise downloadbare Updates manipuliert haben.
Da es aber keine zeitlichen Informationen gibt, sollte der Ansatz schon sein, der Software erst einmal nicht zu vertrauen.
"Desweiteren sind die alten AnyDesk Versionen nicht irgendwie gefährlich geworden,weil der Schlüssel weg ist. Das ist vollkommener Unsinn und Panikmache."
Sicher? Wer weiß, wie lange ein Angreifer schon unauffällig im Netz war und unbemerkt Code in den Build-Prozess einschleusen konnte?
Und hier beim BSI unter Warnungen für 2024
https://www.bsi.bund.de/SiteGlobals/Forms/Suche/BSI/Sicherheitswarnungen/Sicherheitswarnungen_Formular.html?dateOfIssue_dt=2024&cl2Categories_DocType=callforbids
Weiterhin NIX. Einfach nur peinlich.
Hallo,
gerade geschaut, der ist da jetzt veröffentlicht (Cybersicherheitsvorfall bei einem Remote-Screen-Sharing-Anbieter)…
Doch mittlerweile gibt es bei BSI eine Warnmeldung :)
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-213655-1032.pdf?__blob=publicationFile&v=2
https://wid.cert-bund.de/portal/wid/kurzinformationen
Da auch nichts, über die Seite renne ich täglich drüber, weil sie einem eigentlich taufrisch einen grobüberblick der Lage geben soll.
Netterweise nur als PDF.
Netterweise ist "Copy" gesperrt.
Aber wozu gibt es Google Lenses?
(Echt jetzt, BSI, was sollen solche Spielchen? Wollt ihr euch noch unglaubwürdiger machen?)
Netterweise wird gesagt, das öffentliche Quellen den Schlüssel und Code verlust behauptet hätten (also nicht AnyDesk).
Bei mir ist copy bei dem pdf nicht gesperrt.
Ich benutze Sumatra PDF als Viewer.
Was sagt eigentlich der Beauftragte für Datenschutz in Baden-Württemberg dazu? Dort ist man eigentlich recht kommunikativ, wenn man mit Problemen und Fragen kommt.
Der hat damit nix zu tun.
AnyDesk hat jeden Verlust von Kunde Daten ausgeschlossen. Damit ist der Datenschutz beauftragte raus.
Die Firma sitzt ja wohl sowieso rechtlich in den USA?
Oder warum beginnt die Telefonnummer mit "+1"?
Angaben gemäß § 5 TMG:
AnyDesk Software GmbH
Postanschrift:
Türlenstraße 2,
70191 Stuttgart
0711 217246704
Gibt es GmbHs in den USA?
Liegt Stuttgart in den USA?
Und nur, weil Kundendaten aus eigener Sichtweise nicht abgeflossen sind, kann man sich der DSGVO nicht entziehen. Offenbar sind die Technisch Organisatorischen Maßnahmen Daten zu schützen nicht ganz ausreichend.
Die mehr oder weniger inhaltslosen Aussagen seitens Anydesk tragen sicher zu allerlei Spekulation bei. Es ist irgendwie ein Spiel mit dem Feuer. Ich kann mir durchaus auch vorstellen, dass am Ende gar nicht so viel passiert ist, man aber nach einem strikten Notfallplan gehandelt hat. Problem ist dabei sicherlich, dass man weder übertrieben warnen möchte, aber eben auch nicht entwarnen. So schaukelt es sich halt hoch, als Dritter kann man natürlich schnell allerlei Vermutungen äußern.
Diese AnyDesk Incident Response past exakt zur Software-Qualität von AnyDesk:
Seit der Umstellung der Lizenz vor ca. 2 Jahren, ignoriert AnyDesk massive Fehler – jahrelang.
Bur 2 Beispiele:
1) Es bleiben immer wieder Funktions-Tasten wie Ctrl, Shift, Alt und Win "hängen", d.h. Windows verhalkt sich so, wie enn die Tasten dauernd gedrückt sind. Nur beenden von AnyDesk und neu starten hilft.
2) Der Rechner und alle Applikationen kommen völlig problemlos ins Internet – aber AnyDesk meldet, dass es seine AnyDesk-Server nicht findet. Es braucht nur Geduld, so nach 20 Minuten bis 3/4 Stunden, dann wird es meistens klappen.
AnyDesk Software Qualität: 0-1 von 5 Sternen
AnyDesk Support: 0 von 5 Sternen
AnyDesk Lizenzeintribung und Gewinnmaximierung: 5 / 5 Sternen
In solchen Fällen rate ich zu netsh.
Der hat auch ein Ethernetdump, gut versteckt, eingebaut. Man muß also nix installieren, wenn man mal kurz mitschreiben will, was da im Netz passiert.
Ist von der Bedienung her völlig krank, kann aber Files erzeugen, die man mit Wireshark schön ansehen kann.
leider funktioniert das Edit nicht mehr.
Read:
"Alte Versionen unbedingt bei Headless remote systemen jetzt noch erneuern. Sonst steht man in Kürze, weil Windows den Start des Clients nicht mehr zulassen wird,wenn der Schlüssel ungültig gemeldet wurde, vor einem remote nicht mehr erreichbaren System und nächsten Tag mit dem Monitor vor der Tür des Serverraums…"
Ich hab die ominöse "OKJhBah6.exe" Malware mal zerlegt:
Die Maleware ist NICHT gültig mit dem philandro Zertifikat signiert.
Das ist nur per c/p vom AnyDesk 8.0.6 Client hinten dran kopiert worden.
(siehe Zeitstempel)
https://www.bsi.bund.de/SiteGlobals/Forms/Suche/BSI/Sicherheitswarnungen/Sicherheitswarnungen_Formular.html?dateOfIssue_dt=2024&cl2Categories_DocType=callforbids
jetzt ist was da.. ist nur ne gelbe warnung
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-213655-1032.pdf?__blob=publicationFile&v=2
Die Erreichbarkeit der Firma Anydesk per Telefon ist schon lange ein Unding. Im Impressum ist keine Telefonnummer angegeben und auf der Webseite nur die des Vertriebs.
Dieser Umstand ist mir schon vor drei Jahren dumm aufgestoßen als es mal um eine Rechnung der Firma ging. Die Buchhaltung ist per eMail erreichbar und auf die eMail kam damals eine Nachricht, das die Mail ungelesen gelöscht wird.
Ich habe meinen Anydesk Vertrag (noch ein alter Flex-Vertrag) gekündigt und werde das auslaufen lassen.
Entgegen dem Ursprünglichen Anydesk-Gedanken das alles Besser zu machen als es bei Teamviewer war, kann man als Kunde / Nutzer von außen jetzt sagen, das die es auch mit dem Adenauersatz "was interessiert mich mein Geschwätz von gestern" halten. Das Ganze kann aber durchaus den notwendigen Investoren geschuldet sein.
Wenn der CEO von Anydesk bei Günter angerufen hätte, wäre das ein Wunder Biblischen Ausmaßes gewesen. Schade das wäre vielleicht auch mal etwas Positive PR gewesen – aber die braucht man nicht unbedingt. Negative PR ist auch PR!
Wie auch immer, Time-to-say-Goodbye!
Das mit dem "unlesen gelöscht" war früher ein Features von Outlook.
Würde eune Email auf einen Verteiler gekippt, so kam von Leuten auf diesen Verteiler eine Solche sinnlose,aber unfreundliche Meldung, die die Mail einfach gelöscht haben, weil der Kollege das machte.
Ansonsten wäre eine Ignorbot Mail ganz schlecht. Gerade bei der Rechnungsabteilung…
Finde die Kommunikation auch sehr dürftig. Muss ich jetzt alles neu aufsetzen oder reicht wirklich die Version 8.0 damit alles wieder sicher ist?
Im Unternehmensumfeld trifft es mich nicht, aber privat setze ich bei Freunden und Familie auf AnyDesk. Ich würde mir gern die Kommunikation "dein System könnte gehackt werden, wir gehen jetzt zu einem anderen Programm" ersparen. Die alle auf AnyDesk zu lotsen und das zum Laufen zu bringen war schon ein Krampf…
So wie das BSI zwischen den Zeilen schreibt solltest Du alle Software von Anydesk updaten die Serien Nummer 0DBF152DEAF0B981A8A938D53F769DB8
hat.
Im Text des BSI steckt aber noch ein mehrdeutiges "u.a.".
Diese Software von AnyDesk ist nicht gefährlich, da Anydesk sagt, das sie keine illegalen Code Änderungen gefunden haben.
Es könnte aber sein, das wer seinen Virus mit diesem Cert signiert hat.
Außerdem wird Anydesk das Certificat zurückziehen.
In beiden Fällen wird die alte Version nicht mehr laufen.
Beim einen wird alles vom Virus scanner als PUA eingestuft werden, beim andern wird Windows die Software nicht mehr starten.
haben.
Leider kannst Du auch nicht davon ausgehen, das die Software sich automatisch aug 8.0.8 updatet. Hatte heute bei 10 Rechnern, noch ganze 4 Kisten mit der Version 7.
Aus der Anydesk Nummer und dem DDOS Angriff auf Ruskdesk habe ich mir noch 2 weitere Alternative parat gelegt. (Hoptodesk und IperiusRemote)
Es schadet also nicht, wenn man mehr als eine Varainte für die Fernsteuerung hat – diese muss ja auch nicht unbedingt installiert sein, aber vielleicht auf dem Desktop liegen.
HopToDesk scheint ein Rustdesk Fork zu sein:
https://github.com/rustdesk/rustdesk/discussions/1590
Gibt es über Iperius Remote Erfahrungen?
Erster Client stammt wohl aus 2015 lt. changelog, aber…wow…42MB statt z.B. der 5 MB von AnyDesk…
Das Hoptodesk ein Fork von Rustdesk ist, ist auch im Programm in der Info so eingetragen.
den IperiusRemote Client habe ich mir auch nur mal lokal mit einem anderen Gerät angesehen, wegen der Handhabung – die Funktionen werden durchaus besser.
Ein Teamviewer QS ist derzeit auch 30Mb groß.
Zum einen ist das eine der wenigen Dinge die AnyDisk klar ausschließt. Der Code ist nicht komprimiert.
Zum anderen wirft man nicht jeden Tag eine neue Version ins Netz.
Desweiteren müsste diese verfälschte Version dieselbe Prüfsumme haben wie die vorherigen.
Das SHA gecrackt worden ist mir neu.
Wenn Du da andere Infos hast, immer ger damit.Das wäre nämlich eine echte Sensation.
Das Risiko ist aber, das anderer böser Code mit diesem Cert signiert wird.
Dieser Code fällt dann Viren Scannern auf, die darauf hin alles was dieses Cert hat sperren würden.
Für AnyDesk Kunden wäre das fatal, da sie die Systeme nicht mehr warten könnten und auch so keine neue Version holen könnten.
Darum hat AD jetzt einen neuen Sign key erzeugt.
Rein aus Prinzip, denn sie müssen den alten Key ja sowieso revoken, egal ob der missbraucht wird oder nicht.
Natürlich ist es Mist das AnyDesk nicht klar kommuniziert, was der Grund für den Neuen Key ist.
BSI hat nur Beeping com von einem Code und Key Verlust geschrieben und AD hat darauf vorsichtshalber neu Signiert um den evtl. kompromittieren Key zurück ziehen zu können und die Fäden nicht Erpressern zu überlassen
(Schönen key habt ihr da. Wir haben damit ein paar Viren gebaut. Wenn wir die bei Virustotal hochladen, wird euer Key als böse erkannt und alles geblockt, auch euere Programme. Sollen wir oder überweist ihr uns ein paar Bitcoins als Bounty?)
HTH?
Ich habe heute Anydesk per E-Mail kontaktiert und denen gesagt, dass wir, als zahlender Kunde, es alles andere als prickelnd finden, aus den Medien und nicht direkt von Anydesk davon zu erfahren. Ich habe um Stellungnahme und konkrete Handlungsanweisungen gebeten. Unser Vertrag scheint nur die Nutzung der 7er Version zu erlauben (?), eine neuere als die seit Wochen von uns benutzte 7er Version lässt sich nicht als MSI Paket erstellen.
Bisher keine Antwort. Ein sehr fragwürdiger Umgang mit Kunden…
Aktuell sind ja nur die Windows Clients von Anydesk aktualisiert worden. Kann hier jemand mir erklären, ob das Software-Zertifikat bei MacOs und anderen auch eine so wichtige Rolle spielt ? Oder dauert hier der Freigabe Prozess bei Apple so lange ? Die on-prem Version ist auch noch alt. Erklärt sich jetzt mir nicht ganz.
Nachdem ich heute bei unserem CERT nachgefragt hatte und sie mir das gleiche empfohlen haben wie das BSI, habe ich intern das ausführen von Programme mit dem alten Zertifikat gesperrt und wollte nun die neuen MSI's herunterladen.
Ich habe das MSI für die Version 7.0.14 von einer bestehenden Vorlage heruntergeladen, aber auch eine neue Vorlage erstellt. Beide sind mit dem alten Zertifikat (SN 0dbf152deaf0b981a8a938d53f769db8 gültig vom 13.12.2021-9.1.2025) signiert.
Hat jemand von euch eine Erklärung dafür?
Ich schreibe gleich Teil 7 mit Hinweisen/Aussagen von AnyDesk dazu (danke an den Leser, der mir die Info zukommen ließ) – war gestern aber etwas "ausgebrannt" und musste mal a bisserl früher schlafen gehen …