[English]Kurze Information in die Runde samt Nachfrage, wer von dem Vorfall betroffen ist. Zum 25. April 2024 hat der Fernwartungsanbieters AnyDesk wohl eine "faule" Version seines AnyDesk-Clients ausgerollt, die vom Microsoft Defender unter Windows blockiert wird. Hintergrund ist, dass der Client mit einem zurückgezogenen Zertifikat digital signiert wurde. Ich bin gleich von mehreren Blog-Lesern auf das Problem hingewiesen worden, komme aber erst jetzt dazu, dieses im Blog aufzugreifen. Hier eine kurze Bestandsaufnahme der Fortsetzung des Chaos rund um AnyDesk.
Anzeige
Leser melden blockierten AnyDesk-Client
Es gibt einmal diesen Kommentareintrag von Harry zu meinem Blog-Beitrag Microsoft Defender blockt Anydesk-Clients (28. Februar 2024), in dem es darum ging, dass der Microsoft Defender unter Windows die Clients des Fernwartungsanbieters AnyDesk blockiert. Das Problem von Ende Februar 2024 ist nun wohl zum 25. April 2024 erneut aufgetreten. Harry schrieb:
Die unendliche Geschichte des Versagens bei AnyDesk geht weiter: Heute, 25.4.24, frisch runter geladen. Defender meckert, aber mit "trotzdem ausführen" kann man es starten. Installieren allerdings lässt es sich nicht, da stellt sich Windows quer.
und merkt an, dass die Anydesk.exe ein Zertifikat vom 24.4.2024 aufweist. Der Client ist also frisch mit einem Zertifikat von AnyDesk signiert worden. Auch Blog-Leser Drago bestätigt das Problem und schreibt, dass er eine "hübsche rote Warnung" bekomme.
Erklärung des Verhaltens
Blog-Leser Kevin H. hatte mich zum 25. April 2024 kurz angerufen, und das Thema skizziert (durch meinen Klinikaufenthalt konnte ich die Information nicht zeitnah umsetzen und liefere das nun nach). Kevin schrieb mir, dass sie seit dem Sicherheitsvorfall bei AnyDesk diese Software genau im Blick haben. Daher ist ihm nicht entgangen, dass zum 25. April 2024 (vielleicht schon einen Tag früher) mutmaßlich ein neuer Client veröffentlicht wurde.
Kevin bestätigte, dass dieser AnyDesk-Client be bei einigen Antivirus-Anbietern einen Alarm auslöst und dass der Windows Defender die Ausführung des AnyDesk-Clients verhindert. Der Leser hat den Client mal auf Virustotal hochgeladen und bekam diese Rückmeldung.
Anzeige
AnyDesk-Client auf VirusTotal
ClamAV nennt als Grund "Revoked.CRT.AnyDesk_Compromise-1002", also etwas mit dem zurückgezogenen Zertifikat. Kevin schrieb dazu: "Auffällig ist, dass man hier wieder die bereits zurückgezogene Signatur verwendet, was hoffentlich der einzige Grund ist dass AV Systeme Alarm schlagen – aber so ein Patzer ist ein wenig vertrauenserweckender Umstand…". Der Leser hat mir folgenden Screenshot der Dateieigenschaften geschickt, der das Problem belegt:
Zum 24. April 2024 wurde das alte Zertifikat der philandro Software GmbH, welches zurückgezogen wurde, zum Signieren des AnyDesk-Clients verwendet. Am späteren Nachmittag meldete sich der Leser erneut und merkte an, dass der Fehler bei AnyDesk wohl auch aufgefallen sei. Denn inzwischen würde für den Client eine exe-Datei heruntergeladen, die "vor wenigen Minuten" mit dem AnyDesk Software GmbH Cert signiert wurde.
Das ist das gültige Zertifikat, welches dann auch auf VirusTotal von den Virenscannern als unauffällig eingestuft wird. Unter dem Strich hat der Anbieter das alte und zurückgezogene Zertifikat zum Signieren verwendet, was die Alarme der Virenscanner auslöste. Wohlmeinende Zeitgenossen stufen das als "AnyDesk wollte nur mal testen, ob die Virenscanner auch funktionieren" ein. Nicht so wohlmeinende Zeitgenossen meinen "der Laden hat seine internen Abläufe immer noch nicht im Griff, so was darf nicht passieren".
Ergänzung: Der Leser hat mir noch zwei Fundstellen im Web genannt, wo sich der AnyDesk-Client 8.0.10.0 herunterladen ließ. Ich habe die Version am 29.4.2024 per Download gezogen und die digitale Signatur geprüft. Die waren mit "philandro Software GmbH" zum 24. April 2014, 14:53.30 Uhr signiert worden.
Der Hintergrund
Hintergrund für das Zertifikate-Chaos ist der Umstand, dass der Anbieter AnyDesk im Dezember 2023 Opfer eines Cyberangriffs auf seine Produktivsysteme wurde. Das Ganze kam aber erst Anfang Februar 2024 häppchenweise ans Tageslicht – möglicherweise auch auf Grund der Berichterstattung hier im Blog (siehe Links am Artikelende). AnyDesk konnte nicht ausschließen, dass die Schlüssel für die Zertifikate, die zum digitalen Signieren von Dateien benutzt werden, abhanden gekommen sind.
Daher wurden die alten Zertifikate widerrufen und der Anbieter war im Februar damit befasst, neue Clients mit aktualisierter digitaler Signatur bereitzustellen. Zum Problem wird das nun, weil AnyDesk im Februar 2024 und jetzt im April 2024 etwas beim "Bauen der neuen Clients" mit den Zertifikaten durcheinander geraten ist. Dadurch wurden die Binärdateien von AV-Programmen als schädlich eingestuft und in Quarantäne gestellt.
Artikelreihe:
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen – Teil 1
AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2
AnyDesk-Hack Undercover – Verdachtsfälle und mehr – Teil 3
AnyDesk-Hack Undercover – Zugangsdaten zum Verkauf angeboten – Teil 4
AnyDesk-Hack – Eine Nachlese Teil 5
AnyDesk-Hack – Nachlese der BSI-Meldung – Teil 6
AnyDesk-Hack – Hinweise zum Zertifikatstausch bei Customs-Clients 7.x – Teil 7
AnyDesk-Hack – Weitere Informationen (FAQ) vom 5. Februar 2024 -Teil 8
AnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt? – Teil 9
AnyDesk-Hack zum Dezember 2023 bestätigt; Altes Zertifikat zurückgerufen – Teil 10
AnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten? – Teil 11
AnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen? – Teil 12
Microsoft Defender blockt Anydesk-Clients (28. Februar 2024)
AnyDesk: Zugriffsversuche aus Spanien; Unsignierter Client verteilt
Anzeige
Es darf nicht passieren.
Denn es wird ja das Certificate bemängelt.
Das war auch schon am 24. revoked ind und das Problem wäre ohne eine frische Signatur gefunden worden.
Auch ein Testsystem, auf dem ein Tool wie ProcessExplorer lief, hätten das ungültige Cert erkannt.
A) Anydesk wirft Clients auf seine Kunden, die sie nicht minimal selbst gegen Virustotal geprüft haben.
B) Jemand Unbefugtes hat das angeblich nicht gestohlene Zert verwendet und könnte das Ergebnis in die Lieferkette einspeisen.
Was rauchen die da?
Finger wech!
Ich stutzte schon, als ich den alten Firmen Namen gelesen hatte.
Ich habe auch mal eine Umfirmierung mit gemacht, da wurde alles per grep & Co nach dem alten Firmennamen durchsucht.
Ich tippe auch auf B), selbst wenn ich dann als "nicht so wohlmeinender Zeitgenosse" eingestuft werde. Der Zeitpunkt (kurz vor zwei langen Brückenwochen) paßt perfekt.
Ich tippe hier auf einen nicht ausreichend überwachten Deployment-Prozess und gehe hier eher wohlwollend mit Szenario A.
Übrig bleibt nun leider erneut die Ungewissheit. Dies sollte ein vermeidbarer Fehler sein und in dem gesamten Kontext des vorhergehenden Vorfalls muss hier doch noch viel stärker darauf acht gegeben werden.
Ein offizielles Statement ist bisher für mich nicht auffindbar – haben wenigstens AnyDesk Abo-Kunden hier eine Mitteilung erhalten? Eine einfache Klarstellung ob es sich hier um einen Fehler im Deployment-Prozess handelte, wäre für meine Begriffe das Minimum an Kundenkommunikation (wenigstens eine Randnotiz in den Changelogs).
C)
Erpressungs-Versuch
Der Erpresser will demonstrieren, das das Loch immer noch nicht dicht ist (geschasster Mitarbeiter?)
Anyway. Darf nicht passieren.
Der Virentest hat zu erfolgen, schon allein um false positives zu verhindern.
AnyDesk?… AnyDesk! Ach ja das war doch das Teil was verbrannt ist. Sorry aber das hat auf Rechnern nichts mehr zu suchen!Die haben ausgespielt. Manche lernen aber scheinbar nie.
genau wie der MS Schrott. Zufälle gibt's….
Vielen Dank für das Update. Was gäbe es denn noch an Alternativen?
Rustdesk – Hoptodesk – Teamviewer – PCvisit – IperiusRemote – VNC – Microsoft Remote Hilfe
such Dir was aus….
Es gab auch eine 8.0.9 ohne Changelog
Hallo,
das kann ich bestätigen. Wir verwenden Software-Inventarisierung, diese wies auf besagte Version 8.0.9 hin.
Wir haben diese nie installiert, da AnyDesk dafür – entgegen gegenteiliger Versprechungen auf Reddit – über Wochen keinen Changelog veröffentlicht hat.
Also ich musste mir nun ein paar mal die Augen reiben, aber das Changelog ist heute scheinbar aufgetaucht, dafür ist das von der 8.0.10 jetzt verschwunden.
An Experten: Ich suche in diesem Zusammenhang eine einschlägige Windows Event ID, welche geloggt wird, wenn ein Prozess startet, dessen Binary mit einem abgelaufenen Zertifikat signiert wurde. Entgegen anderslautenden Hinweisen scheidet die Event ID 4688 aus. Liste von Event IDs in (1) ergibt nichts Einschlägiges. Gibt es unter (2) evtl. einen oder mehrer API Calls, welche die Information liefern?
(1) learn.microsoft.com/en-us/defender-endpoint/troubleshoot-microsoft-defender-antivirus
(2) learn.microsoft.com/en-us/defender-endpoint/api/management-apis#microsoft-defender-for-endpoint-apis
Wie schätzt ihr eigentlich die Gefahr bei der AnyDesk-Integration im Baramundi ein ?
Wir versuchen es rück abzuwickeln. Stehen mit Baramundi in Kontakt wie wir es von den clients runter kriegen und lassen die Lizenz auslaufen.
Einihe wollten es wieder aktivieren, nach der Meldung hier ist es aber auch denen zu komisch geworden.