AnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten? – Teil 11

Sicherheit (Pexels, allgemeine Nutzung)[English]Nachdem nun klar ist, dass der Anbieter von Fernwartungssoftware, AnyDesk, im Dezember 2023 Opfer eines Hacks seiner Produktionsumgebung wurde, steht ein Zertifikatswechsel für die digitale Signierung der AnyDesk-Clients an. Nach meinen aktuellen Beobachtungen läuft es auf eine "Revoke-Chaos" hin – ab morgen ist das alte  Zertifikat der "philandro Software GmbH" ungültig. Clients die mit diesem Zertifikat signiert sind, dürften dann nicht mehr ausgeführt werden. Ach ja, schon mitbekommen, dass die Sprachregelung "der Hack fand Ende Dezember 2023 statt" auch kassiert wurde und jetzt von "Dezember 2023" die Rede ist?


Anzeige

Das Drama mit dem AnyDesk-Hack

Ich habe den, sich zum Drama entwickelnden Verlauf des, AnyDesk-Hacks hier im Blog ja nachgezeichnet. Ausgehend von meinem, Ende Januar 2024, aufgekommenen Verdacht (siehe AnyDesk und die Störungen: Es ist womöglich was im Busch), dass die "technischen Probleme" bei AnyDesk die Folgen eines Hacks sind, gibt es seit dem 2. Februar 2024 ja Klarheit. AnyDesk hat zu diesem Tag einen Hack seiner Produktivumgebung bestätigt, bei dem auch Quellcodes und wohl private Schlüssel zum digitalen Signieren von Binärdateien abhanden kamen (siehe AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen – Teil 1).

Zähe Information der Öffentlichkeit

Seit meinem ersten Bericht gibt AnyDesk nur sehr zögerlich Details gegenüber der Öffentlichkeit preis – meist erst dann, wenn hier im Blog oder in abgeleiteten Beiträgen anderer Medien neue Insights berichtet werden. So ist inzwischen bekannt, dass dieser Hack am 20. Dezember 2023 bemerkt wurde – etwas, was ich hier im Blog erstmals aufgegriffen habe (siehe AnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt? – Teil 9). Kunden wurden meines Wissens bisher nicht über den Vorfall informiert.

Neue Sprachregelung in der FAQ

In diesem Kontext ist es empfehlenswert, auf Wort-Nuancen zu achten. Zum 7. Februar 2024 hat AnyDesk eine FAQ zum Vorfall veröffentlicht. Dort hieß es noch:

"Diligent forensic investigation revealed that the incident had started in late December 2023."

wie ein Blog-Leser in diesem Kommentar festgehalten hat – ich hatte das im Beitrag AnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt? – Teil 9 auch nochmals so dokumentiert. Sprich: Es heißt "der Vorfall hat Ende Dezember 2023 stattgefunden". Ich hatte in meinem Blog-Beitrag Teil 9 aber einen Verdacht aufgeworfen, dass der Angriff wesentlich früher stattgefunden haben könnte. Stichworte waren Atlassian, ein Produkt, welches Schwachstellen aufwies, die im November 2023 ausgenutzt wurden. Und AnyDesk hat Atlassian-Produkte in seiner Produktivumgebung im Einsatz.

Beim Schreiben dieses Blog-Beitrags habe ich mir die FAQ von AnyDesk nochmals angesehen. Interessant ist, dass in der FAQ von AnyDesk mit dem Update vom 9. Februar 2024 eine neue Sprachregelung Einzug hält. Dort findet sich nun die Passage:

"Our forensic investigation has revealed that the incident started in December 2023."

Es gibt zwar schon mal Stimmen, die den Vorwurf "zu viel Spekulation hier im Blog" erheben. Aber ich interpretiere die obigen Nuancen in zweierlei Richtungen. Erstens zeichnet es sich ab, dass ich mit meinen, oft als Fragen formulierten, Vermutungen richtig lag. Und zweitens hält AnyDesk die Aussage "Der Angriff hat am 20. Dezember 2023" oder "Der Angriff hat Ende Dezember 2023 begonnen" wohl nicht mehr aufrecht. Mit anderen Worten: Es gibt wohl Anzeichen, dass der Angriff deutlich früher, als Ende Dezember 2023 eingeleitet wurde.

Stand beim Zertifikate-Revoke

Kommen wir zum Kern des heutigen Beitrags. Beim Hack kann ja nicht ausgeschlossen werden, dass auch die privaten Schlüssel für die Zertifikate, die zum digitalen Signieren von Binärdateien (AnyDesk-Client) verwendet werden, abgeflossen sind. Von AnyDesk wurde zum 2. Februar 2024 kommuniziert, dass man die Zertifikate zum digitalen Signieren der Clients "binnen 2 Wochen" widerrufen" (revoken) werde.

Neuer Client, neues Zertfiikat

In der Zwischenzeit hatte AnyDesk ja damit begonnen, den AnyDesk Client 8.0.8 für Windows mit einem neuen, auf die AnyDesk GmbH ausgestellten Zertifikat digital zu signieren. Allerdings wurden die Customs Clients weiterhin mit dem alten Zertifikat der "philandro Software GmbH" mit Gültigkeit ab 13. Dezember 2021, signiert. Ich hatte dazu was im Blog-Beitrag AnyDesk-Hack – Hinweise zum Zertifikatstausch bei Customs-Clients 7.x – Teil 7 geschrieben.


Anzeige

Altes Zertifikat revoked

Auf Grund der Berichterstattung hier im Blog hat eine dritte Partei den Zertifikatsaussteller DigiCert kontaktiert, auf den Sachverhalt hingewiesen und um Überprüfung gebeten. DigiCert hat dann das alte Zertifikat der "philandro Software GmbH" für ungültig erklärt. Ich hatte das im Blog-Beitrag AnyDesk-Hack zum Dezember 2023 bestätigt; Altes Zertifikat zurückgerufen – Teil 10 zeitnah aufgegriffen. Es gibt einige Aussagen in Kommentaren hier im Blog, dass mit dem alten Zertifikat signierte Software im Windows Defender bereits gesperrt wurde – und es ist nur eine Frage der Zeit, bis das digitale Zertifikat von Windows oder anderen Betriebssystemen als ungültig ausgewiesen und der Start der so signierten Clients verhindert wird.

Custom Clients nicht mehr erzeugbar

Es deutete sich ja bereits in den Kommentaren hier im Blog an: AnyDesk hat inzwischen die Funktion zum Erstellen neuer Custom Clients in seinem Kundenportal deaktiviert. Olaf schrieb, dass er seit dem 9. Februar 2024 (ab späten Nachmittag) keinen Custom Client im Portal (I) mehr erzeugen könne, da die Funktion deaktiviert wurde (die betreffende Ansicht sei ausgegraut). Wurde von einem weiteren Nutzer bestätigt.

Neue Versionen sollen kommen

Auf der FAQ-Seite von AnyDesk heißt es zum Thema, wie Nutzer die AnyDesk-Clients absichern und gewährleisten sollen, dass keine infizierten Versionen verwendet werden:

…, we will shortly be issuing software updates for all version and custom clients with a new certificate.

Therefore, we are asking customers to update their AnyDesk version as soon as the updates are available. Once the new software updates have been rolled out, current certificates will be revoked.

Man will also neue Client-Versionen mit neuem Zertifikat ausrollen und das alte Zertifikat widerrufen. Für Windows soll es AnyDesk 8.0.8 mit neuem Zertifikat geben. Weiterhin soll es im Stable Channel ein automatisches Update des AnyDesk-Clients auf die Version 7.0.15 gegeben haben.

Aktuell sei aber noch der AnyDesk Custom Client Version 7.0.14, ein Update soll kommen. Auch die On-Premises-Clients stecken noch auf der Version 7.0.14 fest. Es gibt wohl die Seite Update AnyDesk, wo beschrieben ist, wie sich die Clients updaten lassen.

Altes Zertifikat läuft am 13. Februar 2024 ab

Kommen wir zum großen Knackpunkt. Wie ich es aktuell sehe, lassen sich aktuell keine Custom Client mit neuem Zertifikat, ausgestellt auf die AnyDesk GmbH, erstellen. Generell hat der Hersteller die Generierung von Custom Clients wohl vorübergehend deaktiviert. Ob irgend ein Client auf die Version 7.0.15 automatisch aktualisiert wurde, kann ich nicht sagen – vielleicht schreibt die Leserschaft, die das prüfen kann, was dazu.

Was passiert nun mit den alten Versionen (< 7.0.15), draußen bei den Nutzern vorhandenen AnyDesk-Clients? Das digitale Zertifikat der "philandro Software GmbH" wurde ja für ungültig erklärt. In diesem Zusammenhang hatte Blog-Leser Simon in diesem Kommentar ja bereits darauf hingewiesen, dass die nächste Zertifikatsaktualisierung am 15. Februar 2024 erfolgen soll – ab diesen Zeitpunkt müssten die mit diesem Zertifikat signierten Programmdateien von den Betriebssystemen abgewiesen werden. Nun hat sich heute ein Leser per Mail gemeldet und schrieb:

Anydesk – Chaos geht weiter

Hallo Herr Born,

Es geht weiter. Seit heute können wir im Anydesk Portal keine Custom Clients mehr erstellen. Bestehende Clients sollen lt. Auskunft vom Support ab morgen auch nicht mehr funktionieren. War wohl doch keine so gute Idee Pakete mir dem alten Zertifikat zu verteilen.

Der Leser bestätigt, was in den Kommentaren hier im Blog bereits berichtet wurde: Keine Custom Clients mehr erstellbar. Und es kommt noch eine relevante Information: Die mit dem alten "philandro Software GmbH" Zertifikat signierten AnyDesk-Clients werden bereits ab dem 13. Februar 2024 auch nicht mehr als gültig eingestuft – die Ausführung müsste mit einer Warnung blockiert werden.

Ich kann es noch nicht ganz werten: Aber für mich sieht es so aus, als ob es am morgigen 13. Februar 2023 für einige AnyDesk-Kunden ein böses Erwachen geben könnte, wenn die Clients wegen des zurückgezogenen Zertifikats nicht mehr ausgeführt werden können. Oder hat jemand da anderslautende Informationen bzw. kennt eine AnyDesk-Seite, wo das eindeutig erklärt und aufgelöst wird?

Alt-Clients vermutlich nicht betroffen

Ergänzung: Es wurde wurde u.a. im Kommentar hier bereits angesprochen. AnyDesk-Clients, die mit dem alten "philandro Software GmbH" Zertifikat vor dem 19. Dezember 2023 digital signiert wurden, werden wohl nicht ungültig. Thomas schrieb:

Ich kann auf meinem Windows 10 einen vor dem 19.12.23 signierten Custom-Client noch ausführen, ein nachher signierter wird von Windows SmartScreen blockiert. Jeweils mit dem gleichen gesperrten Zertifikat (S/N 0dbf152deaf0b981a8a938d53f769db8).

Auf Facebook habe ich von einem Blog-Leser die Info erhalten, dass er eine alte Version von AnyDesk gefunden habe, wo das Zertifikat ist noch gültig ist.

AnyDesk Zertifikat
AnyDesk-Zertifikat; Zum Vergrößern klicken

Der Signaturzeitpunkt, zu dem der Client erstellt wurde, scheint also eine Rolle zu spielen. Alles, was vor dem Stichtag 19. Dezember 2023 signiert wurde, ist wohl vom Revoke (noch) nicht betroffen. Bleibt zu hoffen, dass das Datum hält und auch ältere Signatur-Varianten nicht als ungültig erklärt werden – und dass mit diesen Datumswerten noch kein Missbrauch getrieben wurde.

Artikelreihe:
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen – Teil 1
AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2
AnyDesk-Hack Undercover – Verdachtsfälle und mehr  – Teil 3
AnyDesk-Hack Undercover – Zugangsdaten zum Verkauf angeboten – Teil 4
AnyDesk-Hack – Eine Nachlese Teil 5
AnyDesk-Hack – Nachlese der BSI-Meldung – Teil 6
AnyDesk-Hack – Hinweise zum Zertifikatstausch bei Customs-Clients 7.x – Teil 7
AnyDesk-Hack – Weitere Informationen (FAQ) vom 5. Februar 2024 -Teil 8
AnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt? – Teil 9
AnyDesk-Hack zum Dezember 2023 bestätigt; Altes Zertifikat zurückgerufen – Teil 10
AnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten?  – Teil 11
AnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen? – Teil 12

Ähnliche Artikel:
Störung bei AnyDesk, jemand betroffen?
AnyDesk und die Störungen: Es ist womöglich was im Busch


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

54 Antworten zu AnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten? – Teil 11

  1. Oli sagt:

    Ende Januar 2024 :)
    ÄnyDesk finde ich auch witzig 😆

  2. treuer leser sagt:

    Und noch immer kein neuer Linuxclient lt. Changelogs, immerhin gibt es den Client inkl. neuem Zertifikat für macOs…

  3. mw sagt:

    Günter müht sich im Blog richtig ab immer neue Details ans Licht zu zerren. Als Außenstehender ist das eher lustig, denn Anydesk ist erledigt und durch. Wenn Du ein totes Pferd reitest, steig ab. Und Anydesk ist definitiv tot. Das aber eine ganz andere Problematik auf, welche Produkthaftung hat der Hersteller gegenüber den Kunden, wenn er ein Zertifikat widerruft. Die Software wird unbrauchbar und der Schaden kann schnell in die Höhe steigen.
    OT:
    Selbes Problem hat mich bei verschlüsselten Mails getroffen. Die IT hat einfach die Zertifikate gelöscht. Damit ist der Inhalt der Nachrichten verloren. Allerdings sind Geschäftsbriefe zwingend 10 Jahre aufzubewahren und nicht nur der Chiffre. Daher habe ich im privaten Seamonkey alle Zertifikate der letzten 10 Jahre gespeichert.

    • R.S. sagt:

      IT auffordern, die Zertifikate aus einer alten Datensicherung wieder herzustellen!
      Und sie auf die Problematik bzgl. der Aufbewahrungsfristen hinweisen.
      Denn auch die Backups müssen, sofern da auch steuerrelevante Daten mitgesichert wurden, 10 Jahre aufbewahrt werden!
      Und das sogar auf WORM-Medien! (Gesetzliche Vorschrift: müssen manipulationssicher aufbewahrt werden, und das geht nur bei WORM-Medien)

      • Fritz sagt:

        Aus diesem Grunde speichern wir nicht nur das Original einer Mail, sondern auch die vertiffte Version im DMS.
        Gerade bei buchungsrelevantem Geschäftsverkehr vom Angebot bis zur Rechnung/Mahnung.

    • Ralph D. Kärner sagt:

      Grober Verstoß Deiner IT in Bezug auf gesetzliche Vorgaben und Regelungen. So etwas darf man dann gern auch mal eskalieren.
      Patallel solltest Du dann mal schauen, in wie weit Du Firmeninterna in irgendwelchen privaten Datensammlungen vorhalten darfst und ob überhaupt. Nicht, dass Dir das auf die Füße fällt…

  4. jup sagt:

    Ich seh das etwas anders:
    ja, das Zertifikat ist mit Wirkung vom 19.12.23 als ungültig erklärt worden,
    bedeutet aber auch das jegliche Software die davor mit Zeitstempel signiert wurde gültig bleibt.
    Von daher betrifft die Sperre nur die ominöse 8.0.7 und alle Costum Clients die nach 19.12.23 01:00 erzeugt wurden …

    Noch eine Frage an die Zertifikat Experten: Nun, da der 20.12.23 nicht mehr haltbar ist, könnte da DigiCert den Sperrzeitpunkt vom 19.12.23 nochmal zBsp auf 1.Oktober 23 verschieben ?
    Wäre ja nur eine Änderung in der .crl Liste … ?

  5. 1ST1 sagt:

    In einem älteren Beitrag waren von anderen Lesern Downloadmöglichkeiten diverser älterer Anydesk-Clients verlinkt. Ich kann nur jedem hier raten, daraus die die Publisher-Signaturen (von anydesk und philandro) in Applocker zu importieren und eine Deny-Regel für Everyone zu generieren, zumindestens solange bis tatsächlich neue Programmversionen verfügbar sind, wenn man auf die Software nicht angewiesen ist, kann man die Applocker-Regel auch darüber hinaus stehen lassen.

  6. Jubei sagt:

    Bei uns ist das Erstellen und Downloaden der Custombuilds deaktiviert.
    Deswegen hatte ich Kontakt mit dem Support.
    Es benötigt wohl auch eine Freischaltung des Accounts damit zukünftig wieder auf Costumbuilds zugegriffen werden kann.
    Zitat aus der Mail:
    "I have requested the whitelisting of your account to expedite custom build access again. "

    • Stefan sagt:

      Klingt für mich eher nach Hinhaltetaktik: Warum soll das denn generell gesperrt und nur punktuell auf Nachfrage entsperrt werden, wenn das Feature doch vermarktet wird? Ich denke, der Support ist ohnehin gerade überrannt und so können sie wenigstens etwas sagen oder eine Handlung andeuten. In unserem Customer-Bereich steht jedenfalls: "Windows/Mac OS builds downloads are not available at the moment. We will allow it soon."

      Ist also bewusst gesperrt. Warum – tja, das steht da nicht.

      Für uns ist nur ärgerlich, dass wir unsere alte (Power-)Lizenz gerade auf das aktuelle Lizenzmodell gehoben haben, in dem Glauben, unsere alten 7.0.14er Custom-Clients zeitnah durch sichere 8.0.8er Custom-Clients ersetzen zu können. Mehrere Wochen auf eine bereinigte 7.0.15 zu warten, war für uns keine Option.

      Naja, der Gedanke war wohl Asche, wie vieles aktuell bei Anydesk. Superschade, wie das gerade gerade so abläuft.

  7. mvo sagt:

    Anydesk ist komplett kaputt. Leider haben wir erst im Dezember unsere Lizenz verlängert.
    Unter myAnyDesk lässt sich nun gar keine MSI für Windows mehr generieren. Alte MSI Versionen können weder editiert, noch gelöscht oder heruntergeladen werden. Wenn ich aus der Oberfläche heraus ein dort angebotenes Update auf 8.0.8 anstoße:
    404 : The requested resource cannot be found!
    Kommunikation von Seiten AnyDesks: Null, Nix, Nada.
    Hier im Blog werden ja geradezu täglich neue Fragmente des Skandals bekannt. Was man als Anwender aber nun genau tun soll, verrät AnyDesk nicht wirklich. Stattdessen "Neueste Version" einsetzen, die aber nicht erhältlich ist. Echt toll.

    • Pau1 sagt:

      Sie können nicht liefern.
      Fragt euren Anwalt.
      Ich als Laie würde ne Frist setzen, sagen wir 10 Tage und dann den Vertrag wegen "Nichterfüllung" für Nichtig erklären, oder wie man das nennt.
      Es geht ja immerhin um ein paar Euros und meine Kunden werden auch nicht glücklich sein, wenn ich ihnen nicht liefern kann, sondern erst im Laufe der Woche mal persönlich rein schauen kann, beim Kunden in 600km Autobahn…

      Aber ich bin da Laie, würde mir aber wünschen das etwas so läuft.
      Wenn ich den Klempner bestelle und er kommt nicht, dann muss ich ihn doch auch nicht bezahlen?
      Oder ich miete eine Wohnung, aber der Vermieter bekommt den Vormieter nicht raus.

      Ist das bei Software irgendwie anders?
      Da gibt's doch so gar einen Fachbegriff "Vaporware", für Software die angekündigt wird, aber nicht lieferbar ist. Hmm. Ob das hier gilt?
      Immerhin war die Software ja mal lieferbar.
      Höhere Gewalt?

  8. Roman sagt:

    Ich habe es ja schon kurz in der Mail auch geschrieben, vielleicht weiß hier jemand noch was. Es ist ja nicht nur der Windows Client, sondern auch der Mac-Client von der Sperre im Anydesk Portal betroffen. Es gibt ja mittlerweile auch einen neuen MAC-Client mit Version 8. Da ich mich mit Mac nicht so gut auskenne, wird da auch ein Zertifikat zur Signierung verwendet? Oder warum wurde der im Portal gleichzeitig mit dem Windows Client entfernt?

    Kommunikation Anydesk auch hier mittlerweile Zero, nach einer kurzen Textbausteinantwort des supports – Alles wird Gut, habe ich etwas mehr nachgehackt, da wurde nichts mehr darauf geantwortet…

    @Günther: Bezüglich Spekulationen:
    1.) Bis jetzt hat sich leider glaub ich fast alles Bestätigt
    2.) Anydesk selbst hätte die Möglichkeit jeglicher Spekulation mit Offenheit entgegen zu wirken.
    3.) Es wurde auch immer hingewiesen, das ein Verdacht bestünde, oder es möglich sei
    Ich finde hier wurde nicht übertrieben und du machst eine gute Arbeit!

  9. M sagt:

    Neue Clients mit neuen Zertikaten ausrollen – Alte sperren bzw. widerrufen.
    Warum ist das in einem digitalen Unternehmen nicht zeitnah möglich ?
    Im B2B – Segment werden doch durch Verzögerungen und Unsicherheiten Schäden bei Kunden verursacht – oder etwa nicht ?

  10. Pau1 sagt:

    Die Änderung von "Ende Dezember" auf "Im Dezember" ist nachvollziehbar.
    Denn das Papier des BSI trug (eher zufälligerweise) das Datum 20.12. ebenfalls bezog sich die Warnung der Franzosen auf dieses Datum. Das ist aber nur das Datum der Bekanntgabe. Der Einbruch musste also vorher erfolgt sein, denn es muss ja sicher sein, was passiert ist.

    Haben die jetzt etwa den Dilletanten rausgeschmissen, der bisher die Krisenkommunikation so grandiose runiös verbockt hat, oder wie kommt es zu dieser Klarstellung?

  11. Foegi sagt:

    Die Anfangs in das "zu viel Spekulation" – Horn geblasen haben werden nun ziemlich kleinlaut geworden sein.
    Erschreckend ist die Informationspolitik seitens AnyDesk aber auch der BSI welche Anfangs nur KRITIS-Anwender informiert hat.
    Dafür Verständnis aufbringen ist schwierig, als zuständiger Administrator willst du deine Infrastruktur so gut als möglich absichern und da sind solche Kritis-Geheimniskrämereien kontraproduktiv.
    Der Schaden ist da und das Vertrauen nicht mehr vorhanden, dazu hat die Art der Informationspolitik noch zusätzlich beigetragen.

  12. Pau1 sagt:

    ich möchte noch mal darauf hinweisen, das AnyDesk Anfang des Jahres einen 2 stündigen Totalausfall hatte. War ja hier Thema.
    Desweiteren würden die Proxy Zugänge in Spanien und Portugal ausdrücklich erwähnt. Einmal als erfolgreich angegriffen und später als einzige die keine Probleme hatten.
    Ursprünglich war ausdrücklich von Zertifikaten und Code signing Zertifikaten die Rede.
    Wesentlich gefährlicher wäre ein Verlust der Schlüssel auf dem Proxy Servern, da so ein Man in the middle Angriff möglich (gewesen) wäre.
    Durch die Strukturen ist es rel. schwierig zu überprüfen wann wo TLS Certs erneuert worden sind. Das scheinen Server einer CDM Struktur zu sein

    D.h. auch wenn man nur eine IP Adresse sieht, können das zig Server sein, von denen einer nach Netztopologie und Last ausgesucht wird.
    Spanien und Portugal liegen geografisch end zusammen, vermutlich auch netztopologisch.

    Naja und dann sind da noch die nicht sichtbaren Bilanzen im Bundesanzeiger.de. Als Kunde weiss ich gerne mit wem ich es zutun habe. Da hilft mitunter ein Blick in die letzten, aktuellen Bilanzen.
    Das kann ganz harmlose Gründe haben (vergessen?).
    Da aber der Vorstand umgebaut wurde und auch Teamviewer ziemlich leise umfimiert und verkauft wurde, …

    • Bolko sagt:

      Der Totalausfall war am 20.Januar 2024.
      Also konnten sich die Hacker einen Monat im System von AnyDesk umschauen.

      • Pau1 sagt:

        uups.
        Könntem denn 2 Stunden reichen um geschätzt 250 Proxy Server mit neuen TLS zu versehen oder gar Images zu restoren?

        (Teamviewer hat mal mit so einer Zahl von Proxy-Servern weltweit geworben. Ist aber schon ein paar Jahre her, und Anydesk wollte ja 10mal besser werden.)

  13. Pau1 sagt:

    https://www.borncity.com/blog/2023/04/06/anydesk-probleme-stellungnahme-des-herstellers-und-weitere-insights/

    da hast Du ja die veröffentlichten Werte bei Northdata (die aus dem Bundesanzeiger stammen dürften) analysiert.
    Inzwischen ist doch der ursprüngliche Mitgründer aus dem Vorstand weg, oder verstehe ich das falsch?

    Interessant finde ich auch, dass in der letzten öffentlichen Bilanz ganze 48 Angestellte genannt werden, aber für den Firmensitz, für Büroflächen rund 50000 Euro mtl. gezahlt werden. Also 1000 Euro pro Mitarbeiter. Bei einen Gewerbemieten-Preis von vielleicht 10Euro/qm hat jeder Mitarbeiter in der Zentrale traumhafte ca. 100qm Bürofläche. Nicht schlecht. 8qm sind gängiger.
    Wo verrechne ich mich da?

  14. Ano sagt:

    Die zahlten rund 12k pro Monat für 50 MA.. das ist vollkommen normal.

    Ansonsten gehört das Unternehmen immer noch den Gründern.. zwar nicht ganz, aber einer hat immer noch die Kontrolle und könnte – vermutlich – alles blockieren.

    Die haben einfach Kapital gesammelt um weiter zu wachsen..

    Bei IT-Unternehmen ist sowas immer Risiko.. als Convotis GeigerBDT übernommen hat, hatten die das Risiko auch nicht so auf dem Schirm.. sonst hätten sie garantiert nicht soviel gezahlt.

    • Pau1 sagt:

      upps.
      ich habe da doch in der Bilanz 600TE gelesen,
      Vertag bis 2029. Ist das die Gesamte Summe für 5 Jahre?

      Das steht da nicht so ganz eindeutig.
      Bei allen Mierverpflichtungen ist jeweils das Jahr angegeben.

      … nachhaltige Mietaufwendungen für folgende Geschäftsjahre in Höhe von jährlich TEUR 829 (2021), TEUR 805 (2022) die ausschließlich Dritte betreffen.

      Türlenstraße 2, 70191 Stuttgart endet am 30. September 2029. Diese Verpflichtung beläuft sich auf TEUR 633.

      60TE p.a. wären OK, ja.
      Das würde mich ja beruhigen.

      • Pau1 sagt:

        heute ist nicht mein Tag.
        12×12 144

        Die mieten in Stuttgart beginnen so bei 12 Euro/qm
        12TE wären dann max 1000qm für 50 Leute.
        Ist auch schön, man will seinen Leuten etwas bieten.

      • Ano sagt:

        Ist alles falsch.. sind vermutlich 146+ca 60t p.a. = 206t p.a.
        Für Stuttgarter Raum auch ok…
        Der eine Vertrag ist ausgelaufen und den zähl ich nicht.
        Die haben die eine gesamte Verpflichtung bis 2029 mit den beiden jährlichen Verpflichtungen zusammen addiert, was natürlich falsch ist.
        So würde ich das deuten…

        Teamviewer wird langfristig die gleichen Probleme wie Anydesk bekommem (bzw hatten sie ja schon).
        Ich versuche mittlerweile nur noch mit so wenig Software wie möglich auszukommen..

        • Pau1 sagt:

          ja, kann gut sein.
          Mir stellt sich nur noch die Frage warum keine aktuellen Bilanzen mehr beim Bundesanzeiger sichtbar sind?
          Nur bei ganz kleinen Firmen muß das nicht öffentlich einsehbar sein. Und "ganz klein" sind die ja nur wahrlich nicht.
          Hast Du Idee womit das zusammenhängt?

          • J, sagt:

            Das wundert mich auch sehr. Dass Anydesk jetzt eine Kleinstkapitalgesellschaft sein sollte, erscheint mir nicht plausibel, dafür müssten die in § 267a HGB genannten Werte an zwei Bilanzstichtagen in Folge unterschritten sein.

            Hat mal jemand ne Bonitätsabfrage gemacht? Vielleicht wissen die Auskunfteien ja etwas mehr.

            • Ano sagt:

              Die sind einfach noch nicht veröffentlicht… vielleicht sitzt der Stb zu und irgendwer zahlt das Ordnungsgeld einfach.
              Der Abschluss 21 der Muttergesellschaft wurde erst im Januar 24 veröffentlicht.. und da liegen noch 21 Mio. Cash rum, die Anydesk in Anspruch nehmen könnte.

  15. Thomas23 sagt:

    Ich kann auf meinem Windows 10 einen vor dem 19.12.23 signierten Custom-Client noch ausführen, ein nachher signierter wird von Windows SmartScreen blockiert. Jeweils mit dem gleichen gesperrten Zertifikat (S/N 0dbf152deaf0b981a8a938d53f769db8).

    Der Signaturzeitpunkt scheint also eine Rolle zu spielen.

    PS: Ich habe meinen Nick geändert, da es hier noch andere Thomas gibt und ich erst seit kurzem kommentiere.

  16. Wolfgang Müller sagt:

    nun lese ich mir seit gefühlt Wochen die gute Berichterstattung durch – und ja, danke für die wirklich guten Teile – es stellen sich mir jetzt ein paar Fragen:
    – wann gibt es neue Custom Client Versionen?
    – ist es moeglich, das aktuelle Client Image mit einem "Transforms" auch zu versehen, damit die Einstellung an die jeweiligen Kunden mit rausgehen?
    – alternativ: kann ich in dem Softwareverteiltool das neueste MSI oder die EXE packen und über den Bestand "drüberher" installieren, ohne die Einstellungen zu verlieren (also ein Upgrade mit einer verfügbaren, sauberen Version)
    – gibt es eine gute – und vor allem bezahlbare Alternative – TeamViewer ist zu teuer geworden, RemoteHelp von MS ist zu teuer angefangen.

    das wären so die Fragen – vlt hat jemand eine Idee?

    • SvenS sagt:

      ja, hab ich.
      Benutze ab sofort Rustdesk auf deinem eigenen Server oder suche dir andere Alternativen.
      AnyDesk mit dieser Informations-Politik weiter zu betreiben, ist Selbstmord!

    • Pau1 sagt:

      Du brauchst wahrscheinlich nicht die alten Clients zu ersetzen, weil das Cert erst bei Verwendung nach dem 20.12. gesperrt sein dürfte.
      "Ansich" ist das evtl. geklaute Cert kein Risiko, weil man ja weiß das es geklaut wurde…
      Die alten Versionen werden ja nicht gefährlicher, weil das cert jetzt geklaut wurde.
      Der Dieb müsste eine Software die mit diesem Cert signiert wurde erstmal herstellen und verteilen.
      Ich würde mich wundern, wenn DigiCert einen Timestamp erzeugt, wenn das Cert zurück gezogen wurde. Damit wäre das Cert wertlos.
      Dabei ist es m.E. unerheblich ob der Source Code auch erbeutet wurde. Signieren kann man damit vermutlich alles an binaries.
      Es kann natürlich sein, dass da noch mehr geklaut wurde.

      rustdesk wird immer wieder gerne genannt.
      Vor oder auch Nachteil ist, das man selbst die Proxy Server aufstellen muss.
      Vorteil ist natürlich das sich ein Angriff nicht so lohnt
      weil das halt nur Deine paar Kunden träfe und nicht über 150000 zahlende oder 600000 nicht zahlende.
      Nachteil ist auch klar: Du musst den/die Server mieten oder beim Kunden mit einem VPN rein. Und wenn da etwas schief geht zeigen alle auf Dich.

      • SvenS sagt:

        Vorgenanntes kann ich nicht nachvollziehen, da ich das zum Glück nicht einsetze! ;-)

        Jegliche Ausführung versuche ich zu sperren!

        "Vor oder auch Nachteil ist, das man selbst die Proxy Server aufstellen muss."

        Das ist der Zweck einer SelfHosted-Lösung! ;-)

        "Nachteil ist auch klar: Du musst den/die Server mieten oder beim Kunden mit einem VPN rein."
        Ich mag jetzt nicht mit Preisen um mich werfen, da ich nicht weiß, wie groß die Anzahl der Clients ist und welchen Anbieter Ihr verwendet.
        Aber, es laufen nicht alle Verbindungen über diesen Server, denn normal ist Client2Client (und eventuell frage ich mal zwischendurch den Server an). VPN ist da eine ganz andere Liga/Klasse.
        – ergo:
        -mieten ja (ca. 10€/Monat)
        -auf eigener Hardware (Strom, Hardware, Pflege)
        und vielleicht:
        – ich unterstütze RustDesk pro Monat (10€)

        "Und wenn da etwas schief geht zeigen alle auf Dich."
        das machen die so oder so! ;-)

    • Günter Born sagt:

      Im Sinne unfairer Dialektik: Das könnte natürlich (bis auf die letzte Frage) wohl AnyDesk beantworten – da kommt aber nix. Man könnte ja auch die Freunde hier fragen. Die haben bestimmt das richtige Bildchen mit den Antworten auf dem Schirm – sind ja schließlich "Lagezentrum".

  17. Steph sagt:

    Servus,

    was hält die Allgemeinheit hier von splashtop?
    Meine Lizenz bei AD läuft im März aus und naja – handlungsbedarf!

    Viele Grüße,
    Steph

    • Michael sagt:

      an sich gute Software, könnte wegen potentiell chin. Einfluss problematisch werden für Infrastruktur-/Telekommunikations-/oder Bereiche die anfällig für Wirtschaftsspionage sind. Die Gründer sind allesamt aus Taiwan-/Abstammung (nicht Mainland China)

    • Andy sagt:

      self-hosting open-source
      – MeshCentral
      – Rustdesk

      self-hosting kommerziell
      – ISL Conference Proxy von ISL Online (persönlich einer meiner Favoriten)

      cloudbasiert kommerziell
      – pcvisit (Made in Germany, Server in Germany)

  18. Fritz sagt:

    ACMP hat gerade den Stecker gezogen:
    https://www.aagon.com/produkte/ueberblick/release-notes-acmp/detail/2024-02-08-acmp-655/
    Einzig relevanter Änderungspunkt: "Beendigung der AnyDesk-Integration"

    Zitat:
    Unser Consulting und unser Support nutzen bei Hilfestellungen für gewöhnlich Teamviewer. Als Backup war bis zu diesem Release AnyDesk integriert. Aufgrund des nicht genau nachvollziehbaren Sicherheitsstatus dieser Dritt-Lösung haben wir uns vorsorglich dazu entschlossen, diese komplett aus ACMP zu entfernen. Nach aktueller Informationslage sehen wir jedoch keine akute Gefährdung für unsere Kunden.
    Zudem sind wir den BSI- und Herstellerempfehlungen nachgekommen und haben die Passwörter der Zugänge geändert.

  19. Anonymous sagt:

    habe jetzt von CGM noch zwei Anydesk-Versionen die frei zum download zur Verfügung stehen gefunden:
    https://get.anydesk.com/Od4JsFwg/CGM_Remote_Support.exe –> Hier ist das Zertifikat gesperrt.

    https://www.cgm.com/corp_en/data/downloads/group-it/cgm-remote-support-windows.html –> hier ist das Zertifikat noch gültig

    der CGM Support in Österreich verweist auf den Link: https://rs.cgm.com/ von dort kann die Version heruntergeladen werden.

    Habe die Firma CGM in Wiener Neudorf schon damit konfrontiert, aber denen dürfte es egal sein.

    Ich finde es eine frechheit, wie damit umgegangen wird.

    Da wird ja nur gesaut

    • Bolko sagt:

      Die erste Datei wurde am 9.Februar 2024 signiert, also nach dem Sperrdatum 19.Dezember 2023. Sperre ist berechtigt.

      Die zweite Datei wurde am 14.November 2022 signiert, also vor dem Sperrdatum. Es gibt keinen Grund, diese saubere Datei zu sperren.

  20. Anonymous sagt:

    jetzt Mal eine (vermutlich) doofe Frage: muss man, wenn man mit den Zertifikat was signieren will, noch einmal beim Ersteller des Zertifikats einen Schlüssel o.ä. holen? Dann könnte man ja anhand der Logs nachvollziehen, wann das Zertifikat zum signieren benutzt wurde und das damit dann abgleichen, wann eine unberechtigte Benutzung statt fand. Oder kann man mit den Zertifikat einfach so eine Datei signieren, was würde einen dann daran hindern, einfach das Datum zurückzustellen, und es ist nicht möglich, nachzuvollziehen, wann denn nun tatsächlich signiert wurde.

  21. Thomas23 sagt:

    Anydesk schreibt auf einer Supportseite [1] sie hätten den Generator für Custom-Clients mit dem neuen Zertifikat versehen. Kunden könnten die früher erzeugten Clients neu herunterladen und er wäre dann mit dem neuen Zertifikat versehen.

    Das Problem ist, dass die Download-Links unter my.anydesk I bei mir momentan eine leere URL haben. Da ich die URL für unseren Client wusste, konnte ich diesen bei Anydesk herunterladen und er ist mit dem neuen Zertifikat von Anydesk signiert.

    Andere Kunden müssen dafür dann wahrscheinlich eine Supportanfrage machen? Das Erstellen und Bearbeiten von Clients ist bei mir immer noch ausgegraut aber das Back-End scheint ja zu funktionieren.

    [1] https://support.anydesk.com/knowledge/how-do-i-make-sure-i-use-anydesk-with-the-new-certificate

  22. Julius sagt:

    Habe heute eine Mail erhalten, dass für die Custom-Clients ein Softwareupdate zu Verfügung steht.

    Angeboten wird im Generator weiterhin die 7.0.14, das Zertifikat scheint aber tatsächlich neu zu sein (gültig ab: 12.02.2024; Seriennummer: 030e330a8ed28347bda3bb478e410d7c)

    Ergo entspricht die Seriennummer nicht der vom BSI genannten, neuen Seriennummer. Das Chaos ist damit meines Erachtens perfekt…

  23. V sagt:

    Heute am Spätnachmittag kam nun das erste Mal überhaupt eine Mail von AnyDesk an mich als Kunden. Knapp 2 Monate nach dem vermuteten Datum des Vorfalls.

    Vom Tenor her empfinde ich die Mail so, wie das hier in zahllosen Beiträgen schon zu den Einlassungen von AnyDesk beschrieben wurde. Der Betreff lautet "ACTION REQUIRED: New Software Update Available for Download". Das für diejenigen unter euch, die immer noch dringend auf einen neu signierten Download warten ..

    Für mich greift der Inhalt der Mail nach wie vor zu kurz, aber ich bin eh durch mit dem Thema AnyDesk.

    Lustige Randnotiz: laut Text soll es jetzt im Help Center einen Artikel "How do I make sure I use AnyDesk with the new certificate" geben.

  24. Simon sagt:

    Gestern kam eine Mail von AnyDesk ins Postfach. Wir haben die On Prem Version. Die Custom Clients sind noch auf der 7.x unterwegs, laut AnyDesk wurden aber hier die Zertifikate der generierten Bestands-Clients getauscht OHNE dass man einen neuen Custom Client generieren muss. Während des Tauschs dieser hatten wir als Unternehmen auch keine Möglichkeit die Windows Clients herunterzuladen, jedenfalls vermute ich, dass die Nichtverfügbarkeit dieser darauf zurückzuführen war. Getestet habe ich den aktualisierten Client allerdings noch nicht.

  25. Andy sagt:

    sowas in der Art hätte ich mir von anydesk das wenigstens gewünscht… ist nicht schwer zu programmieren man muss nur ein bisschen bei der Wahrheit bleiben…

    https://www.easypark.com/de/comm

    aber fast gar nichts zu sagen, in der Hoffnung dass es keiner mitbekommt, ist schon erbärmlich… und das ist kindergarten

  26. Sander sagt:

    Im Beitrag steht:
    "wie Nutzer die AnyDesk-Clients absichern und gewährleisten sollen, dass keine infizierten Versionen verwendet werden"
    Was ist mit "infizierten Versionen" gemeint? Gibt es irgendwelche Hinweis darauf, dass via die AnyDesk-Website oder den AnyDesk-Update-Server jemals irgendwelche infizierten Versionen verbreitet wurden?

    • Günter Born sagt:

      Ich habe Meldungen, dass Dritte auf Kundensystemen waren, aber leider keine Details mehr bekommen, und es daher nicht separat ausgeführt. Und es gibt den Fall, dass Anydesk Clients ohne Digitalsignatur ausgeliefert wurden. Muss jeder selbst entscheiden, wie er verfährt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.