Microsoft Defender blockt Anydesk-Clients (28. Februar 2024)

Stop - Pixabay[English]Kurze Information in die Runde. Gerade habe ich über Blog-Leser mitbekommen, dass die Clients des Fernwartungsanbieters AnyDesk wohl ab heute (28. Februar 2024) vom Microsoft Defender unter Windows blockiert werden. Das Ganze hängt mit dem Hack des Anbieters AnyDesk zusammen, bei dem möglicherweise Zertifikate abhanden gekommen sind. Hier eine kurze Bestandsaufnahme – oder Fortsetzung des Chaos, wenn man dies so betrachten will.


Anzeige

Lesermeldungen über geblockte Clients

Blog-Leser Peter H. hat sich heute per Mail bei mir gemeldet und berichtete, dass der in Windows enthaltene Defender sei dem neuesten Signatur-Update die AnyDesk-Clients blockierte. In seiner Mail heißt es:

Nun möchte ich mit Dir folgende Erfahrung teilen: Seit HEUTE (bzw. letzten Defender Signatur Update) blockt Defender alle Downloads als auch die Ausführung von Anydesk (aktuell v7.0.15) und stuft diese als PUA.Win32.Softcnapp ein.

Defender blockt AnyDesk
Defender blockt AnyDesk, Zum Vergrößern klicken

Peter schrieb mir, dass die in nachfolgendem Screenshot sichtbar Signatur im Defender verwendet wird  dessen Signaturdateien sind also auf dem aktuellen Stand:
Defender-Signatur

Auch hier im Blog hat sich Leser Harald in diesem Kommentar gemeldet und schreibt, dass "seit heute der Windows Defender auf die aktuellen AnyDesk Clients mit aktueller Signatur anspringt und sie als potentiell unerwünschte Programme meldet". Karsten hat sich ebenfalls im Diskussionsbereich mit diesem Hinweis gemeldet. Ich ziehe es mal separat heraus, da ich die Diskussionseinträge sporadisch lösche.

Die neuen anyDesk-Clients werden heute vom Microsoft Defender als unerwünschte App blockiert. 'PUA:Win32/Softcnapp' wird als Grund gemeldet.

Wir reden hier von den neu freigegebenen Clients, die mit neuem digitalen Zertifikat der AnyDesk GmbH digital signiert wurden. Auch Leser Daniel hat in einer Mail auf diese Erfahrung hingewiesen. Dort wird ein Kunden-Client verwendet, also die neuesten Versionen der speziell angepassten AnyDesk-Software, die beim Herunterladen sofort von Windows Defender mit dem Hinweis auf einen vermeintlichen Trojaner (MicrosoftTrojan:Win32/Phonzy.A!ml) blockiert werden. Auch Virustotal meldet den Trojaner.

Karsten verwies noch auf den reddit.com-Beitrag Anydesk custom client is blocked by Microsoft Defender, wo ein weiter Nutzer das Verhalten des Defender bestätigt.

Hello,

since this morning, Anydesk custom client, from my.anydesk 1 and 2 (.exe and .msi) is blocked by Defender.

Defender detected and terminated active 'PUA:Win32/Softcnapp' in process 'AnyDesk.exe' during a scheduled scan

Anybody have the same situation ?

Im betreffenden Thread bestätigen weitere Nutzer das Problem. Ein Nutzer doud_doud gibt eine Antwort des AnyDesk-Supports wieder:

Sorry for this inconvenience. Our team is actively investigating the root cause of this issue.

The current solution, if nothing is configured and a false positive notification arises, would be to manually add an exception/rule for AnyDesk.

There is no risk in using AnyDesk. Therefore, you can download and install AnyDesk safely.

We appreciate your patience and understanding.

Die sind nun in echte Probleme gerauscht, wenn der AnyDesk-Client jetzt auf sehr vielen Systemen als unerwünscht blockiert und in Quarantäne verschoben wird. Die Empfehlung: Eine Ausnahme für den Client im Defender definieren, damit dieser nicht mehr blockiert wird. Der Brüller des Monats ist "There is no risk in using AnyDesk. Therefore, you can download and install AnyDesk safely.".


Anzeige

Der Hintergrund

Hintergrund des Ganzen ist wohl, dass der Anbieter AnyDesk im Dezember 2023 Opfer eines Cyberangriffs auf seine Produktivsysteme wurde. Das Ganze kam aber erst Anfang Februar 2024 häppchenweise ans Tageslicht – möglicherweise auch auf Grund der Berichterstattung hier im Blog (siehe Links am Artikelende). AnyDesk konnte nicht ausschließen, dass die Schlüssel für die Zertifikate, die zum digitalen Signieren von Dateien benutzt werden, abhanden gekommen sind. Daher wurden die alten Zertifikate widerrufen und der Anbieter war im Februar damit befasst, neue Clients mit aktualisierter digitaler Signatur bereitzustellen. Vielleicht ist beim "Bauen der neuen Clients" irgend etwas in die Binärdateien geraten, welches den Defender veranlasst, das Ganze als unerwünscht anzusehen. Hier wird man abwarten müssen, ob AnyDesk die Situation mit Microsoft bereinigen kann – sofern man den AnyDesk Client überhaupt noch einsetzen will.

Rückmeldung von AnyDesk

Ein Blog-Leser hat vom AnyDesk-Support eine Antwort auf seine Anfrage gestellt. Die ist kurz und bündig: "Danke, dass Sie sich bei uns gemeldet haben! Wenn Sie Defender-Warnungen erhalten, aktualisieren Sie bitte Ihre Windows Defender-Definition wie folgt. In der Zwischenzeit können Sie sich gerne an mich wenden, wenn Sie Fragen oder Bedenken haben. Vielen Dank!"

Artikelreihe:
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen – Teil 1
AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2
AnyDesk-Hack Undercover – Verdachtsfälle und mehr  – Teil 3
AnyDesk-Hack Undercover – Zugangsdaten zum Verkauf angeboten – Teil 4
AnyDesk-Hack – Eine Nachlese Teil 5
AnyDesk-Hack – Nachlese der BSI-Meldung – Teil 6
AnyDesk-Hack – Hinweise zum Zertifikatstausch bei Customs-Clients 7.x – Teil 7
AnyDesk-Hack – Weitere Informationen (FAQ) vom 5. Februar 2024 -Teil 8
AnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt? – Teil 9
AnyDesk-Hack zum Dezember 2023 bestätigt; Altes Zertifikat zurückgerufen – Teil 10
AnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten?  – Teil 11
AnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen? – Teil 12

Ähnliche Artikel:
Störung bei AnyDesk, jemand betroffen?
AnyDesk und die Störungen: Es ist womöglich was im Busch
AnyDesk ist down – was ist da los? (23. Feb. 2024)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

29 Antworten zu Microsoft Defender blockt Anydesk-Clients (28. Februar 2024)

  1. rusko1337 sagt:

    Ich kann das bestätigen! Wir verwenden Microsoft Defender 365 und seit gestern wird sowohl der Download als auch der Start des neuen Anydesk Clients blockiert. Das faszinierende an dem Verhalten ist, dass die alten Anydesk Customer Clients, welche mit dem alten/gestohlenen Zertifikat signiert wurden weiterhin problemlos funktionieren.
    Mir fehlen die Worte dazu… Microsoft hätte doch 1x etwas richtig machen können ;)

    • Pau1 sagt:

      Warum das so ist sollte Dir als Admin klar sein
      Weiter unten haben ich zum x-ten mal versucht zu erklären was es mit PUA aufsich hat und warum nur genau eine spezielle Version gemeldet wird.
      Auch bei Trendmicro findest Du einen Bericht.
      leider scheint irgendwas meine diesbezüglichen Hinweise immer wieder zu entfernen.
      ich habe nichts mit TM zu tun!

  2. Luzifer sagt:

    Das Teil ist verbrannt.. und gebannt ;-P
    Gehackt werden ist eine Sache, kann vorkommen, der Umgang damit aber ne Ganz andere Sache und anydesk hat da jedwedes Vertrauen verspielt. Nicht mehr vertrauenswürdig also nur korrekt das der Defender das sperrt.

    • Rico sagt:

      Ich weiß, ist hier OT, aber ich kann RUSTDESK bei uns einfach nicht als Alternative verwenden. Wir haben unseren eigenen ID Server aufgesetzt, was soweit kein großes Problem war. Die Clients funktionieren auch wunderbar. Nur kann ich die eigens auf github erstellten Clients (https://rustdesk.com/docs/en/dev/build/all/) nicht zum Download anbieten. Die EXE wird von den meisten AVs als TRJ.32 XXX oder zumindest wie anydesk jetz auch als PUA:Win32/Softcnapp einfach weggelöscht. Auch Windows warnt beim Download und später auch noch bei der Ausführung. Hat das schon jemand gelöst?

      • Pau1 sagt:

        Du kannst die Software ja selbst übersetzen.
        Dann mach das mal und ändere die Versions Nummer.

        Seriöse Virenscanner sperren nur bestimmte Versionen einer PUA (Trendmicro z.B.) .
        leider gibt es Virenscanner Hersteller, denen das zu viel Arbeit ist, oder die das Problem auch nicht verstanden haben und die alle Versionen blocken.

        Da hilft es nur mit den Scanner Herstellern zu reden.
        Z.B. würden jede Software, die mit UPX komprimiert war als böse gemeldet, weil Viren sich auch gerne mit UPX komprimiert hatten, zu mal es opensource war.
        Ich habe lange nichts mehr von Problemen mit UPX gehört. Entweder ist das Projekt totgegangen oder due die Scanner haben erkannt, das es nicht ausreichend ist,die Signatur von UPX zu erkennen.

        Schmeiß den Rusksesk doch Mal in Virustotal rein.
        Unter den Reitern findet man manchmal einen Hinweis, was due Software verdächtig macht.
        Es kann ein falsches Datum sein.

      • Pau1 sagt:

        Ließ noch Mal den Artikel oben.
        Es gibt da wohl ein Problem, das Ruskdesk illegaler weise ein Riot Zertifikat installiert.
        Das ist natürlich böses und die Sperre berechtigt, da auch andere dieses gefälschte root Zertifikat nutzen könnten.

        Du hast ein Problem bei Headless Systemen.
        Das gibt's auch bei UltraVNC, aber die haben da irgendwie einen Workarround gefunden. Ich glaube irgendendein Sponsor gibt sein Zertifikat für den Treiber.

        Wie gesagt, vielleicht liefert Virustotal da mehr Infos.

  3. Pau1 sagt:

    Damit eine bestimmte Software zur PUA wird, muss sie nur sehr gut sein. So gut, das Kriminelle sie in ihren Paketen verkaufen.
    Gute Virenscanner sperren daher auch nur genau diese Version. neuere und vor allem ältere werden nicht gemeldet.

    Es ist für Laien unbegreiflich, das "PUA" nur ein Hinweis ist und diese Software irgendwie schlecht oder böse sei.
    Aber so kann man ja dokumentieren wie toll man doch ist, die Firma gerade vor dem Untergang gerettet zu haben.

    Wenn eine Software als PUA gemeldet wurde, sollte man untersuchen wie diese ivs System gekommen sein könnte.
    Es könnte sein, das ein Unbefugter diese Version mitgebracht hat.
    Aber wie gesagt,auch Leute die Systeme mit Tausenden Usern Admintrieren dürfen verstehen es nicht. Und sagen hirnlos: Der Virenscanner hat angeschlagen. Das Tool ist böse. Lieber Entwickler besorge Dir etwas anderes oder lose das Problem anders. Du brauchst kein Nmap oder anydesk.
    nmap ist ja böse,es kann Scripte aus führen!

  4. Pau1 sagt:

    @günter

    Es ist keine Software mit den evtl. gestohlen Schlüsseln gefunden worden, die nicht legitim von Anydesk waren.
    Du verbreitest hier FUD.

    • Günter Born sagt:

      Der FUD-Vorwurf ist für mich nicht nachvollziehbar – zumindest wenn ich meinen Abschnitt "Zum Hintergrund" Wort für Wort, textverstehend, lese.

      Mein Zitat "There is no risk in using AnyDesk…" ist im Kontext der Offenlegung des Cybervorfalls zu verstehen – da möge jeder selbst entscheiden, wie das mit dem Trust ausschaut. Auch angesichts der Tatsache, dass AnyDesk-Clients gerne für Cybercrime missbraucht werden. Natürlich ist ein von AnyDesk heruntergeladener Client eher nicht verseucht.

      • Pau1 sagt:

        Du tust so, als sei es Tatsache, dass Anydesk bösartig geworden sein könnte.
        Wir haben das hier mehrfach erläutert.
        Klar ist nur, das Anydesk vorsorglich das Zertifikat gesperrt hat.
        Und klar ist, das Anydesk sich in den Fuß geschlossen hat mit ihrem konspirativem Verhalten.

        Das ein Produkt zum PUA wird liegt daran, das es regelmäßig missbraucht wird, da es Bestandteil eines scammer Paketes ist.

      • Pau1 sagt:

        ich meine den "Brüller"
        Der Brüller des Monats ist
        "There is no risk in using AnyDesk. Therefore, you can download and install AnyDesk safely.".

        Das hört sich für mich so an, als würdest Du die Aussage bezweifeln.
        Natürlich sollte sich jeder überlegen ob er bei dieser Informations Politik weiter mit denen zusammen arbeitet.

        Warum die für 2 Stunden weltweit alle Proxys abgeschaltet haben ist im Nebel ob des Zertifikats untergegangen.

        • HS sagt:

          Die Aussage von Anydesk ist in ihrer Pauschalität de facto falsch und gefährlich.

          Technisch weniger Versierte (und die sind auch Zielgruppe!) könnten "there is no risk in using Anydesk" durchaus auch so verstehen, dass es nicht möglich ist mit Hilfe von Anydesk gescammt zu werden.

          Davon abgesehen ist angesichts des bisherigen Verhaltens von Anydesk ein gesteigertes Misstrauen gegenüber deren Aussagen definitiv angebracht.

          Die haben ein enormes Interesse die Tragweite der Vorfälle herunterzuspielen.
          Vertrauensvorschüsse haben sie gekonnt verspielt, und müssen sich das erstmal neu verdienen – bisher tun sie absolut garnichts substantielles, um das zu tun. Wirklich garnichts.

  5. Pau1 sagt:

    @günter
    "Der Brüller des Monats ist "There is no risk in using AnyDesk. Therefore, you can download and install AnyDesk safely.".

    warum ist das der Brüller?
    Was weißt Du mehr als wir?
    Du scheinst die Sache mit der vielleicht geklauten Signatur nicht verstanden zu haben.

    Es gibt keinen Hinweis, das es eine gefährliche Version von Anydesk gibt.
    Das auf Virusttotal gemeldete Teil ist ein schlecht gemachter Fake, bei denen ein Virus einfach stumpf mit einer beliebigen Signal von Anydesk zusammen kopiert wurde.

    Hat sich denn auch nur einer der Damen und Herren hier die Mühe gemacht, das exe bei Virustotal prüfen zu lassen?

    Außerdem:
    Nur weil ein Virus Scanner ein exe als PUA meldet ist das Programm nicht auf einmal bösartig geworden. Sicherlich bereitet es etwas Mühe um ein weitere Ecke zu denken.
    Aber PUA -bei seriösen Virenscannern- bedeutete nur, das diese Version in Zusammenhang mit einem Angriffs Paket gefunden wurde.
    Wir wissen,das Fernwartungs Software wie Anydesk von Kriminellen zum Abzocken argloser Menschen mussbraucht werden. Z.B. weil sie sich als Microsoft Support einschleichen.
    Vielleicht gibt es ein neues Paket für diese Betrüger, in dem die neue Version mit dem neuen Key drin ist?
    Und dafür wäre eine Warnung hilfreich.
    Für dieses Sachverhalt spricht,das ältere Versionen nicht gesperrt wurden, obwohl der Key ja geklaut worden sein könnte.

  6. T Sommer sagt:

    @Pau1 -Was haben die Dir heute in den Tee?
    Günter schreib hier weder FUD noch stellt er irgendjemanden als Böse dar.
    Das ist journalistische Meinungsfreiheit!
    Und wenn ein Hersteller, der sich nicht gerade mit Transparenz im Bezug auf die Information der Öffentlichkeit bezüglich eines "Cyberangriffes" mit Ruhm bekleckert hat, meint : "There is no risk in using AnyDesk. Therefore, you can download and install AnyDesk safely." – dann kann er das m.E. doch als einen Brüller umschreiben. Ein deutschlandweit bekannte bunte Zeitung hätte hier noch ganz anders eine Schlagzeile daraus gemacht.
    Dein Blabla Bub hier ist nicht gerade unterhaltsam!
    Danke!
    My2Cent

    • Sander sagt:

      Ich finde die Frage von Pau1 allerdings berechtigt:

      Wenn man schreibt, die Aussage, gemäss der die Nutzung des AnyDesk-Clients sei sicher, sei "der Brüller des Monats", dann impliziert man damit doch, dass offensichtlich das Gegenteil der Fall sei. D.h. dass die Nutzung des AnyDesk-Clients eindeutig gefährlich ist.

      Und hierzu liegen – zumindest mir – bislang keinerlei Hinweise vor. Und da wäre ich doch auch stark interessiert daran zu erfahren, worin denn diese allfällige Gefahr bestehen sollte.

    • ARC4 (ehem. Michael) sagt:

      Also völlig ungeachtet dessen ob das jetzt hier unter Meinung oder Journalismus fällt, darauf will ich nicht eingehen.

      Aber journalistische Meinungsfreiheit ist absoluter Käse, so etwas gibt's ich weiß, aber Journalisten haben ja aus ihrem Berufsstand heraus nicht die Aufgabe ihre Meinung als Fakten zu verkaufen sondern objetkiv über Themen zu berichten – das ist ein massives Problem aus der heutigen Zeit, dass Journalismus in "Meinungen" abtrifften.

  7. Micha sagt:

    Potentiell unerwünschtes Programm ist ein weit definierbarer Begriff.

    Etwas was gestern noch legitim war kann morgen unerwünscht sein. Das habe ich schon oft mit alter Software erlebt.

    Lege einfach mal eine Compterbild Heft DVD (Open Source DVD, oder Programmkalender DVD) aus den späten 2000sendern oder den frühen 2010ern in ein DVD Laufwerk und lasse die von deiner AV Lösung durch scannen. Die AV Software wird dabei garantiert Treffer finden.

    Auch Programme zur Wartung der Windows Registry von Windows XP sind mittlerweile unerwünscht.
    z.B. Uniblue Registry Booster (Microsoft Gold Certificate)

    Das trifft mittlerweile auch für das Werkzeug "Windows Loader.exe" zu. Die Software verstößt gegen den Microsoft Lizenzvertrag.
    Mit der konnte man damals problemlos Windows 7 aktivieren wenn der CoA Aufkleber auf einem Netbook oder Notebook nicht mehr lesbar war.

    Andererseits kann man teilweise Original gekaufte Spiele nicht mehr Problemlos Installieren. Das "Sacred 2 Ice and Blood" Addon beinhaltet halt Securom.

    Die Benutzerkontensteuerung von Windows 11 meldet dann:
    "Diese App wurde aus Sicherheitsgründen blockiert."
    "Ein Administrator hat die Ausführung dieser App blockiert."

    Wenn ich das Setup aus einer Eingabeaufforderung mit Administrativen Berechtigungen starte, wird es erfolgreich Installiert. Um es erfolgreich zu aktivieren muss im Anschluss die AV Software beendet werden. Erst danach funktioniert die Kommunikation mit den Sony Securom Servern.

    Ein weiteres eingehen auf SafeDisc und der fehlenden Unterstützung dafür in Windows 10 und 11 erspare ich mir. Die auf dem vorhandenen Plattformen verfügbaren NoCD.exen (meistens nicht von AV Software bemängelt!) reichen meistens aus um die Probleme nachhaltig zu lösen.

    Windows 11 hat eine erstaunlich gute Abwärtskompatibilität zu Spielen die eine alte DirectX Version brauchen. Den "DXwindow Hooker" benötigt man seltener als unter Windows 8.1 x64.

  8. HS sagt:

    Die Qualität von Anydesk ist schon seit etwas mehr als 2 Jahren nicht mehr überzeugend, spätestens der Umgang mit dem Hack und die damit demonstrierte fatale Inkompetenz sollte bei jedem halbwegs klar denkenden Entscheider für entsprechende Konsequenzen sorgen.

    Wir hatten den Wechsel schon letztes Jahr wegen der Qualität beschlossen, nun wird er hart beschleunigt. Ich werde dem Laden nur eine kleine Träne nachweinen, denn immerhin wurde er mit edlen Absichten gegründet: ein paar Teamviewer Mitarbeiter waren nicht einverstanden damit wohin Teamviewer sich entwickelte. In den letzten 2-3 Jahren haben sie exakt die gleichen Fehler gemacht wie TV damals.

  9. Harald sagt:

    Seit heute morgen gibt der Defender bei meinem AnyDesk Custom Client mit neuem Zertifikat wieder Ruhe.

    Er schlägt aber auch nicht mehr bei älteren Versionen mit altem Zertifikat an.

    • Olaf sagt:

      jupp … so wie es aussieht scheinen neue Defender-Definition's im Umlauf zu sein, welche den Custom-Client 7.0.15 nicht mehr als "Böse" identifizieren.

  10. 1ST1 sagt:

    Defender kann machen was es will, hier ist Anydesk per Applocker per Herstellersignatur (beide!) komplett gesperrt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.