[English]Der Fernwartungsanbieter TeamViewer ist wohl Opfer eines erfolgreichen Cyberangriffs geworden. Ungekannte Täter (es wird über APT29 gemunkelt) konnten in die interne IT-Umgebung eindringen und sich im Netzwerk tummeln. Allerdings gibt der Anbieter an, dass seine Produktumgebung nicht betroffen sei. Es gebe auch keine Anzeichen, dass Kundendaten abgezogen worden seien, schreibt TeamViewer. Update vom 28. Juni 2024; 12:10 MEZ.
Anzeige
Erste Gerüchte zum Hack
Ich habe von mehreren Blog-Lesern die Information bzw. Frage, ob TeamViewer gehackt worden sei, erhalten. Auf Mastodon hat Kevin Beaumont auf einen Post zum Cybervorfall verlinkt. Dort heißt es:
"The NCC Group Global Threat Intelligence team has been made aware of significant compromise of the TeamViewer remote access and support platform by an APT group. Due to the widespread usage of this software the following alert is being circulated securely to our customers."
NCC Group can't disclose the source at the time and keep investigating this. Big source, but no substance. Curious to see how this will work out.
Die NCC Group ist ein Informationssicherungsunternehmen mit Hauptsitz in Manchester, Vereinigtes Königreich. Dort heißt es nur, dass die auf einen Hack aufmerksam wurden, aber keine Informationen offen legen können. Eine Quelle HEALTH-Isac bezichtigt APT29 (Cozy Bear) für den Hack verantwortlich zu sein. Es heißt dort:
"On June 27, 2024, Health-ISAC received information from a trusted intelligence partner that APT29 is actively exploiting Teamviewer. Health-ISAC recommends reviewing logs for any unusual remote desktop traffic. Threat actors have been observed leveraging remote access tools. Teamviewer has been observed being exploited by threat actors associated with APT29."
In kurz: Die Leute von Health-ISAC erhielten von einem vertrauenswürdigen Geheimdienstpartner die Information, dass APT29 den Teamviewer aktiv ausnutzt (hier hätte ich jetzt gesagt, dass das kein Indiz dafür ist, dass APT29 hinter dem Hack steht).
Das Kürzel APT29 oder Cozy Bear ist die Bezeichnung für eine staatliche russische Hackergruppe, die für viele Angriffe verantwortlich ist. APT29 werden Verbindungen zum russischen Auslandsgeheimdienst (SVR) nachgesagt.
TeamViewer bestätigt den Hack
Ein Cyberangriff auf das IT-Netzwerk von TeamViewer ist durch das Unternehmen bestätigt. Im Team Viewer Trust Center heiß es, dass interne Security-Team am Mittwoch, den 26. Juni 2024, eine Auffälligkeit in der internen IT-Umgebung des Unternehmens festgestellt habe. Details zum Angreifer, oder was aufgefallen ist, wird in nachfolgender Meldung nicht offen gelegt.
Anzeige
Darauf wurde unverzüglich das TeamViewer Response-Team aktiviert und die entsprechende Prozesse für Notfallpläne in die Wege geleitet. Gemeinsam mit externen IT-Sicherheitsexperten haben die TeamViewer IT-Mitarbeiter unmittelbar nach dem Bekanntwerden des Vorfalls mit den Untersuchungen des Hacks begonnen. Zudem seien notwendige Schutzmaßnahmen umgesetzt worden.
Das Unternehmen versichert, dass TeamViewers interne IT-Umgebung komplett unabhängig von der Produktumgebung ist. Es gibt nach bisherigen Erkenntnissen keine Anzeichen dafür, dass die TeamViewer Produktumgebung oder Kundendaten betroffen sein könnten. Die Untersuchungen laufen allerdings weiter und der Hauptfokus der gegenwärtigen Bemühungen besteht darin, die Integrität der Systeme sicherzustellen.
Extrem positiv ist hervorzuheben, dass TeamViewer offensiv mit dem Vorfall umgeht und viel Wert auf transparente Kommunikation legt. Das Unternehmen will regelmäßig Updates zum Stand unserer Untersuchungen veröffentlichen, wenn neue Informationen vorliegen. Das unterscheidet sich fundamental vom Verhalten des Konkurrenten AnyDesk, die im Dezember 2023 gehackt wurden, das aber unter der Decke hielte, bis ich die Details schrittweise hier im Blog offen gelegt habe (siehe Links am Artikelende).
Teamviewer Remote ist eine proprietäre Software für den Fernzugriff auf sowie die Fernsteuerung und die Fernwartung von Computern und anderen Endgeräten, die 2005 veröffentlicht wurde Das Unternehmen gibt an, dass sein Produkt derzeit von über 640.000 Kunden weltweit genutzt wird und seit der Markteinführung auf über 2,5 Milliarden Geräten installiert wurde. Im Jahr 2019 hatte ich hier im Blog den Beitrag TeamViewer-Hack: Hatte APT41-Gruppe Zugriff auf Millionen Geräte? publiziert, der auf einen vermuteten Hack einging (bestätigt wurde es m.W. nie).
Update vom 28. Juni 2024; 12:10 MEZ
Teamviewer hat zum 28. Juni 2024; 12:10 MEZ, ein Update seiner Informationen im TeamViewer Trust Center Sicherheitsstatus Datenschutz Schutz vor Missbrauch Sicherheit ergänzt. Ich stelle den Textauszug nachfolgend mal 1:1 ein.
Eine Taskforce bestehend aus den Sicherheitsteams von TeamViewer und weltweit führenden Cybersicherheitsexperten hat rund um die Uhr mit allen verfügbaren Mitteln an der Untersuchung des Vorfalls gearbeitet. Wir stehen zudem in ständigem Austausch mit weiteren Threat Intelligence Anbietern und relevanten Behörden, um eine bestmögliche Aufklärung sicherzustellen.
Aktuelle Ergebnisse der Untersuchung deuten auf einen Angriff am Mittwoch, den 26. Juni, der mit Anmeldedaten eines Standard-Mitarbeiterkontos in unserer Corporate IT Umgebung erfolgte. Auf Basis kontinuierlichen Sicherheitsmonitorings haben unsere Teams ein verdächtiges Verhalten des Kontos festgestellt und sofort Gegenmaßnahmen ergriffen. Zusammen mit unserem externen Incident Response Dienstleister führen wir den Angriff derzeit auf die als APT29 / Midnight Blizzard bekannte Gruppe zurück. Nach aktuellem Stand der Untersuchungen blieb der Angriff auf die Corporate IT Umgebung von TeamViewer beschränkt. Es gibt keine Hinweise darauf, dass die Angreifer Zugang zu unserer Produktumgebung oder zu Kundendaten erlangt haben.
Gemäß unserer Best-Practice Systemarchitektur verfügt TeamViewer über eine strikte Trennung zwischen der Corporate IT, der Produktumgebung und der TeamViewer Konnektivitätsplattform. Dies bedeutet, dass wir alle Server, Netzwerke und Konten strikt getrennt halten, um unbefugten Zugriff und Bewegungen zwischen den verschiedenen Umgebungen zu verhindern. Diese Trennung ist eine von mehreren Schutzebenen in unserem "Defense in-depth" Ansatz.
Sicherheit ist für uns von größter Bedeutung, sie ist tief in unserer DNA verwurzelt. Daher verpflichten wir uns zu einer transparenten Kommunikation mit allen Beteiligten. Wir werden den Status der Untersuchungen weiter in unserem Trust Center aktualisieren, sobald neue Informationen verfügbar sind. Wir gehen davon aus, dass wir das nächste Update bis zum Ende des heutigen Tages MESZ veröffentlichen werden.
In dieser Ergänzung wird die obige Erwähnung von Midnight Blizzard (ist ebenfalls ein alternativer Name für APT29 oder Cozy Bear) durch mich bestätigt. Interessant sind die Ergebnisse der Untersuchung, die auf einen Angriff am Mittwoch, den 26. Juni 2024, der mit Anmeldedaten eines Standard-Mitarbeiterkontos in der Teamviewer Corporate IT Umgebung erfolgte, hindeuten. Auf Basis kontinuierlichen Sicherheits-Monitorings habe das Team des Unternehmens ein verdächtiges Verhalten des Kontos festgestellt und sofort Gegenmaßnahmen ergriffen. Aktuell wird die Untersuchung des Vorfalls mit einem externen Incident Response Dienstleister fortgesetzt. Nach aktuellem Stand der Untersuchungen blieb der Angriff auf die Corporate IT Umgebung von TeamViewer beschränkt, schreibt das Unternehmen.
Artikelreihe:
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen – Teil 1
AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2
AnyDesk-Hack Undercover – Verdachtsfälle und mehr – Teil 3
AnyDesk-Hack Undercover – Zugangsdaten zum Verkauf angeboten – Teil 4
AnyDesk-Hack – Eine Nachlese Teil 5
AnyDesk-Hack – Nachlese der BSI-Meldung – Teil 6
AnyDesk-Hack – Hinweise zum Zertifikatstausch bei Customs-Clients 7.x – Teil 7
AnyDesk-Hack – Weitere Informationen (FAQ) vom 5. Februar 2024 -Teil 8
AnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt? – Teil 9
AnyDesk-Hack zum Dezember 2023 bestätigt; Altes Zertifikat zurückgerufen – Teil 10
AnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten? – Teil 11
AnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen? – Teil 12
AnyDesk Client: Neue Zertifikatsprobleme zum 25. April 2024
Anzeige
Der Übliche Reflex der Hersteller dass die Produktivsysteme nicht angegriffen wurden.
Darauf gebe ich fürs erste nicht viel….
Bei uns ist Teamviewer auch im Einsatz und erstmal in der Firewall blockiert.
Schauen wir mal was das noch wird.
Ich wünsch mir wirklich dass dem so ist und nicht plötzlich dann doch die Erkenntnis kommt dass hier der Client zb. mit einem Backdoor ausgestattet wurde.
Wie man so eine single-point-of-failure Software überhaupt produktiv einsetzten kann, habe ich noch nie verstanden. Gilt auch für andere Remote-Software mit zentraler fremder Vermittlungsstelle. Aber Dumm-wie Faulheit spielt halt solchen Firmen rein.
Schön wenn Sie so breit aufgestellt sind. Kleinere Firmen haben oft Kappa Probleme und sind froh, wenn es auch mal einfache Lösungen gibt.
Eine "nette" Unterstellung alle mit faul zu deklarieren.
Wie sieht denn die Umgebung aus, die du administrieren musst? Wir sind 5 Köpfe in der IT mit über 700 Clients an 50 Standorten. Ohne Teamviewer oder dergleichen ist es einfach nicht mehr möglich auch nur ansatzweise das zu leisten, was wir leisten. Ziemlich naiv und entlarvend solche Aussagen.
Mit Verlaub… dann läuft bei Euch mit den gegebenen Informationen etwas ganz schief…
Ich brauche eine Begründung um auf so etwas antworten zu können.
Die Begründung ergibt sich von selbst:
"Ohne Teamviewer … ist es einfach nicht mehr möglich auch nur ansatzweise das zu leisten, was wir leisten."
Ein Firmennetz (egal ob 50 oder 700 bzw. 5 oder 50 Standorte), das ihr ohne Teamviewer nicht managen könnt? Seriously?
Interessant ist, dass offenbar die Anzahl von Server/HVs/VMs keine Rolle bei Euch in der Quantifizierung zu spielen scheint. Dadurch schlußfolgere ich, dass Ihr offenbar nur End-User Support gebt? Nur dafür braucht es mitnichten eine Dritt-Software gerade in der eigenen Entität und Netz. Dazu braucht es noch nicht mal eine zentrale Administration. Das kann jedes Windows seit WinXP von Haus aus mit Bordmitteln, nennt sich Remoteunterstützung oder seit Win10 Zeiten Remotehilfe oder Quick Assist.
https://www.windowspro.de/wolfgang-sommergut/remote-support-windows-10-quick-assist-remotehilfe
Nur eine Baustelle neben möglicherweise ganz vielen, denn bei so vielen Clients und Standorten frage ich mich, warum längst keine Thinclients und Terminalserver zum Einsatz kommen.
Hier ein Link zu einem Heise-Artikel von mir:
https://www.heise.de/select/ct/2022/12/2204109513141146830
Da hast du in den Satz aber ziemlich viel reininterpretiert. Im Kern wollte ich damit eine ähnliche Aussage treffen wie R.Kuhn es getan hat. Du scheinst nicht viel Erfahrung im daily IT-Business zu haben.
"Im Mittelstand
sind Werkzeuge wie TV nicht wegzudenken. Wir haben keine aufgeblasene IT, müssen aber überleben. Das scheinen viele nicht zu verstehen."
Die Remotehilfe ist nicht wirklich das mittel der Wahl und ein Konkurrenzprodukt zu TeamViewer. Teamviewer kann man durchaus auch sicherer betreiben. MFA, Whitelisting, Bertiebszeiten der Firewallregeln, etc. pp. Die Remotehilfe ist dagegen eine Krücke und keine Option.
Und Thinclients sind nicht die Lösung, die man mal eben pauschal für alles und jeden empfehlen kann.
Mit ThinClients CAD-Systeme ersetzen. Netter Versuch. Hat bei uns mal ein Berater versucht. Der Aufwand war am Ende für die IT größer und die Zugriffszeiten sogar bei 10GbE mies.
Remoteunterstützung hilft halt nicht wen der User unterwegs ist und nicht im VPN.
Natürlich geht auch der Blick über Microsoft Teams (auch Böse) auf den Clientdesktop.
Aber darüber kann man nichts installieren.
Und eine selbstgehostete TV-Alternative ist für die IT eines KMU zu viel Aufwand.
Und komm jetzt nicht mit "ist doch schnell aufgesetzt und abgesichert". DieRealität ist, dass die IT eines KMU dutzende kleine Projekte hat die "schnell aufgesetzt und abgesichert sind". Sowas wie Segmentierung, neuer Kopierer, hier ein neues Gerät für die Werkstatt und da ein neues Smartphone für den Mitarbeiter… Alles kleine Aufgaben… und dann die ständigen Sicherheitslücken – auch in Linux, QNAP und hastenichgesehen…
Teamviewer gekauft, in kürzester Zeit eingerichtet, Supporttool auf den Clients ausgerollt… funktioniert… überall.
Mal angenommen ich übernehme Deine schlauen Ratschläge… da können genauso Sicherheitslücken klaffen. So bitter das ist: 100% Sicherheit gibt es nicht.
Nur mal als Beispiel: Ein schlauer Mensch hat uns gesagt, dass der externe Dienstleister besser über unsere damalige Forti über VPN auf die Server soll. Nicht über die ständig ungepatchte Linuxkiste. "Fortinet, super Produkt". Blöd nur, dass die eine Lücke hatten bei der man ohne Passwort auf die Firewall gekommen ist. Paar Monate später eine Lücke mit der man ohne 2FA auf die Firewall gekommen ist.
In dem Fall wäre TV besser gewesen und die sauteure Forti hat versagt.
Ich hoffe einfach TV bekommt das hin.
Ich kann das nicht nachvollziehen. Wir haben ca. 15 Standorte, etwa interne 600 PCs, 40 Terminalserver, Thinclients und 200 PCs im VPN/Homeoffice und wir administrieren alles per RDP, Remoteunterstützung und Teams. Teamviewer wird da nicht benötigt. Zugriff auf die Clients und Server erfolgt rein von speziell für die Administration aufgestellten Terminalservern.
du musst den sicheren Desktop der UAC deaktivieren, damit du unter RU die Elevation bedienen kannst. RU ist keine schöne Lösung.
Wie würdest du es lösen?
Man siehe die Nachrichtenhistorie in der Presse.
Die "sicheren" Strukturen mit einer vermeintlich "guten" IT
hatten bereits genug Ausfälle. Ich wiederhole. Im Mittelstand
sind Werkzeuge wie TV nicht wegzudenken. Wir haben keine aufgeblasene IT, müssen aber überleben. Das scheinen viele nicht zu verstehen. Diese "kleinen" Firmen können das nicht stemmen und verlassen sich auf solch Werkzeuge.
Teamviewer wird nicht benötigt, wenn alle Systeme sowieso in einem Active-Directory und in einem internen Netz (auch über mehrere Standorte und VON/Homeoffice-Anbindung) eingebunden sind. Wirklich nicht notwendig.
Es geht hier leider nicht um die Welt der Mitarbeiter-PC-Pflege, sondern um Industriegeräte. SPS, Leitrechner, Maschinen. Der Kunde wird sich freuen, wenn wir uns in seinem Netz rum tummeln ;) Es gibt schon etwas mehr, als PC und Server Support in der Welt. Und nein, es gibt Kunden, die stellen Anforderungen, mit welchen Werkzeugen auf die Anlagen zugegriffen werden darf.
Und bis dato war TV zuverlässig. Aber es wird auch andere Systeme treffen,.. leider. Für mich als Entwickler sind diese Tools erstmal nur Werkzeuge, die Funktionieren müssen und keinen Aufwand bedeuten. Denn den haben wir an anderen Stellen.
schade, das gerade das VPN gerne der Grund ist, warum man Alternativen benötigt, weil es nicht geht :-)
Wenn man sich die Foren so durchliest, gibt es nur perfekte Admins, die zu 100 Prozent immer die richtigen Schutzwerkzeuge verwenden und ein sehr großes know how haben.
Aber die Infiltrierungen häufen sich.
Das gibt zu denken. Und es ist egal ob TV oder VPN. Es war alles schon dabei.
Der Umstand, dass Mitarbeiter in der Lage sind eine Software wie Teamviewer zu laden, zu starten und Fernsteuerungen mit unbekannten Dritten zu initiieren ist Heuristik, wie kaputt eine IT Infrastruktur ist.
Naja, Du kannst auch mit nicht administrativen Rechten TV starten und ausführen. FW blockieren bringt auch nichts, das TV Port 443 nutzt und den möchte man in der Regel nicht sperren. Bliebe da evtl. noch AppLocker.
Habe seit Jahren mit SRP bzw. AppLocker vieles unter Kontrolle.
naja TeamViewer war schon nach dem ersten Hack "burned"… ebenso wie Anydesk. Da spielt der Umgang mit dem Hack keine wirkliche Rolle (natürlich fair wie TeamViewer da kommuniziert). Kompromitierte Software, vor allem der Kategorie Remote… gehört sofort und unabänderlich entfernt, wenn einem seine Systemintegrität was wert ist. Burned ist burned da führt nix dran vorbei…
Den was tatsächlich alles betroffen ist kann nicht mal ein Security Spezialist 100% sicher sagen. DA kannst du nur noch wirklich 100% aller Hardware austauschen und zwar direkt und auf einmal!
Und dann die Backups von gestern einspielen?
Wenn Angreifer schlau sind, infiltrieren die die Systeme und verhalten sich 3Monate still bevor sie zuschlagen.
Sorry Leute, aber burned ist burned ist sowas von Quatsch. Der Argumentation folgend dürften wir Windows nicht mehr verwenden, auch Linux nicht und wären wieder bei Schiefertafeln
naja es macht nen Unterschied ob du nen OS hast, welches du sichern/härten kannst oder ne verbrannte Ratte ;-P zumal man diese "Dienste über Dritte" nicht braucht wenn man sein Handwerk versteht!
Aber heh Wayne! Sind ja nicht meine Dienste die infiltriert werden ;-P Aber dann bitte nicht rumheulen.
Und ja schau ich mich um wären für manche die Schieferplatten tatsächlich die bessere Lösung!
"… Verhalten des Konkurrenten AnyDesk, die im Dezember 2024 gehackt wurden, …"
Self-fulfilling prophecy? :-)
Trotzdem vielen dank für den Artikel, wir setzen TV auch ein.
Hier für alle eine Blaupause, wie externe Dienstleister und Mitarbeiter im Home-Office sicher und effektiv an die Hand genommen werden können:
https://blog.jakobs.systems/blog/20231010-supplychain-management/
Apache Guacamole nutze ich mittlerweile auch, allerdings habe ich den LTSP dazwischen noch nicht probiert, interessanter Ansatz.
Andererseits:
> Von schmerzfreien Technikern, die mit den Worten "Ich brauche Internet" ihre Notebooks in Server- und Management-VLANs einhängen, bis hin zu Programmierern, die ungefragt unbekanntes Zeug aus dem Netz auf produktiven Kundenservern installieren, ist mir vieles begegnet.
Leider nach wie vor Alltag, und wenn die nur laut genug Mimimi bei der GF machen heißt es von dort: "Ach stell Dich doch nicht so an, die wollen doch Gutes tun!" – nicht schön! Die heulen ja schon, weil man Fertigungsanlagen vom "Office-Netz" getrennt hat, schon allein weil einige Steuer-Rechner noch auf NT4 oder XP laufen und natürlich nur die Protokolle freigegeben sind, die für den Betrieb absolut notwendig sind, das können/wollen diese "Dienstleister" nicht verstehen.
Ja super, dann muss man nur für den Dateitausch auch noch eine Nextcloud einrichten und betreuen – und Wartungsverträge mit mehreren Parteien abschließen, um eine einzige Lösung (Remotezugriff) abzubilden. Und im Falle von Problemen ist keiner Schuld. Dann doch lieber eine einheitliche Plattform mit klaren Zuständigkeiten.
Wozu Wartungsverträge mit mehreren Parteien? Du hostest und betreibst den Server selbst. Und Dateiauatausch/Upload kann natürlich auf mehrfachen Wegen erfolgen, auch direkt in Guacamole. Der Punkt ist, dass Du als Admin/ Verantwortlicher/ Betreiber etc den Datenab- und Zufluss zu kontrollieren und in einem Audit abzubilden hast. Und dazu eignet sich eine Nextcloud mit Ihrem ausgezeichnetem Logging, der Versionierung von Dateien und Integration mit Zabbix, Prometheues etc. wunderbar. Und eine Nextcloud wird üblicherweise in Unternehmen ebenfalls selbst gehostet, quasi eine VM weiter.
Moin
@Günther die von Anydesk wurden im Dezember 2024 gehackt? :-) Hast du ne Glaskugel… der Dezember 24 ist noch paar Monate in der Zukunft..
Ne, Siggi Freud hat zugeschlagen: Im Frühjahr 2024 habe ich begonnen, das aufzudecken, hatte das auch mit der Jahreszahl so formuliert. Und dann fiel mir ein, dass ich ja berichtet hatte, dass dieser Angriff bereits mindestens seit Dezember 2023 lief (vermutlich sogar November). Frühjahr habe ich dann durch Dezember ersetzt – dann musste ich aufs Klo und die Bescherung war perfekt (Quatsch, war schon spät in der Nacht und ich hab auf das nochmals lesen verzichtet, weil ich noch eine Mütze Schlaf haben wollte).
Danke für den Hinweis, ist korrigiert.
Wer noch Teamviewer oder Anydesk einsetzen, ist wohl eh nicht mehr zu helfen.
Rustdesk, open source, auf eigenem Server im Docker betreiben und gut ist. Keine Lizenzen zwingend nötig, keine Zentralen Server die man kapern kann um ins eigene System zukommen. Und besonders kein Accountzwang, daher auch keine „Kundendaten" vorhanden welche man erbeuten könnte.
Alles nice aber die Gegenstelle nutzt das nicht. Die lizenzieren Teamviewer. Was nutz dann solch eine Lösung? Ich kann mit Teams auch Remotewartung durchführen. Oh sorry – MS ist ja auch nicht "sicher".
@Daniel
Ziemlich blauäugig das zu glauben. Nur weil der Verwaltungsserver auf einer eigenen Plattform im Docker läuft bedeutet das noch lange nicht das es sicherer ist. Es fällt nur ein Angriffsvector dadurch weg, das nicht gleich beim Hersteller alle Connections/Clients oder Zugangsdaten abgegriffen werden können. Hat der Client/Server selbst ein Sicherheitsproblem, so kann auch dieser auch angegriffen werden.
Richtig, aber das liegt da in deiner Hand und kannst das absichern und musst dich nicht darauf verlassen das irgend ne Drittfirma ihre IT nicht verpennt hat! Außerdem ist nen Einzel Firma natürlich ein weniger lohnendes Ziel als solche wo man direkt Zugriff auf Tausende Firmen bekommt.
Ich hatte in über 40 Jahren IT noch nie ne Vorfall auf eigenen Systemen… Daten sind trotzdem abgeflossen über Drittfirmen die sich hacken haben lassen/Daten klauen lassen… zeigt ganz klar wo die Probleme liegen!
Was nicht unter meiner Kontrolle ist ist nicht sicher. Ne RAT über Drittserver? Nie im Leben!
mit "Docker" betreiben, ab der Stelle braucht man nicht mehr weiterlesen.
Wenn man solche Lösungen einsetzt, dann bitte auf dedizierten Maschinen und nicht mit so etwas wie Docker, man braucht da keine zusätzliche Software um das zu betreiben und RustDesk benötigt auch keine HighEnd Hardware…
Rustdesk ist nicht schlecht, damit es aber "Global" funktioniert, muss man schon sehr viel an der Config schrauben bis das alles Problemslos z.B. über HTTPS und nicht irgendwelche HighPorts läuft (die eh überall gesperrt sind).
@Ralf Man betreibt den Relay Server selbst, man kann also schon steuern wer Zugriff bekommt, ob dieses z.B. nur intern oder auch von extern erreichbar ist. Selbst wenn es eine Lücke gibt, muss man den Server auch erstmal kennen, und dann auch noch Zugriff bekommen.
Sehe es entspannter, als Teamviewer mit Zentralen öffentlichen Server und Kontozwang.
@Joerg Docker ist halt recht einfach in Pflege, klar kann man auch extra dedizierten Server für machen.
Und dann kommt einer daher, kontaktiert die Entwickler von Rustdesk, bietet seine Hilfe beim Projekt an, entwickelt 1-2 neue nützliche Funktionen, bessert ein paar Fehler aus, schraubt hier und da ein bischen an der Performance, gewinnt Vertrauen, baut komischen Code ein, den keiner versteht, und Zack…
https://www.borncity.com/blog/2024/05/23/teamviewer-ist-down-23-mai-2024/
Gibt es hier eine Zusammenhang?
Immerhin war AnyDesk wenige Wochen bevor das Chaos bei denen ausbrach auch Down.
„Transparent" – mit HTML Tags die das Indexing verhindern. :)
Soll ja große Firmen mit Cloud-Only und SAS-First Strategie geben. Mit solchen Strategien bist Du dann halt befangen in deiner eigenen Strategie
Seit ner guten Stunde gibt es ein neues Statement von Teamviewer auf https://www.teamviewer.com/de/resources/trust-center/statement/
Ich habe es gerade nachgetragen, Danke dir und dem zweiten Leser für den Hinweis.
Ich habe mit dem jüngsten Statement ein Problem. Wenn dem so ist, dass die Zugangsdaten einer Mitarbeiterin kompromittiert wurden. Wie kann es sein, dass die Briten (NCC Group) bzw. Health ISAC damit zuerst ankamen.
Wie passt das zusammen? Konnte etwa die Mitarbeiterin, der so betonten Isolierung zum Trotz auf die Systeme der Kunden zugreifen? Teamviewer spricht doch nur von einem begrenzten Zugriff auf die Corporate IT.
Das widerspricht ist oder fehlt eine entscheidende Information?
Es hieß, dass Geheimdienste den Tipp gaben. Da war entweder was früher bekannt, oder jemand hat was spitz gekriegt.
Die Briten waren schon vorher da und hatten Angst entdeckt zu werden.
Weiss nicht ob relevant.
Habe vorhin einen Rechner angeschaltet und TV deinstalliert.
– Die Firewall hat einen Kontakt zu 34.154114.182, Teamviewer hergestellt. Soweit normal.
– Die Firewall hat in der gleichen Minute einen Zugriff von Russland 78.107.138.88 registriert. ICMP.
ICMP Echo
oder was wollte der 78.107.138.88?
War er den schon öfters mal da?
Es gibt so Server, die gucken, welchr IP aktiv belegt sind.
Kann dann reiner Zufall sein.
Wenn nicht, wäre das dumm implementiert, wenn sie so nach potentiellen Opfern suchen.
(TV-user = Opfer?)
Fyi: Update von 20:15 ist online
Und wieder bin ich fassungslos, wenn vermeintlich seriöse IT-Dienstleister dieses Müllprodukt auf Domänencontrollern (!) und sämtlichen Serversystemen installieren. Werde es nie verstehen. Das ist nicht fahrlässig, das ist Vorsatz!
Wenn Du von Domänencontrollern sprichst, meinst Du MS Software oder ?
Irgendwie las ich die letzten Jahre aber DEUTLICH mehr über MS Sicherheitsprobleme als über TV. Waren das evtl. Linuxmaschinen
in die bei TV eingedrungen wurde ?
Oder schliesst sich der MS Kreis? Vielleicht beginnt der Vorsatz ja schon beim
installieren des DC ?
Und ja ich mag TV, erscheint mir einfach sicherer eine Firma die sich auf ein Produkt zur Fernwartung konzentriert um das Produkt so sicher wie möglich zu machen. Hoffe ich :)
Wie schätzt ihr den TV QuickSupport (Portable Version) ein?
Für kurze Support Sitzungen?
Beim TV Host sehe ich das ziemlich kritisch, welcher permanent nach außen funkt…
Zusätzlich fest im OS installiert wird und mit einem TV Konto verknüpft wird (Firmen Account oder Admin Account).
Ist das BSI noch im Tiefschlaf oder aufgelöst worden? Ich finde dort keine Meldung. Liegt es daran das es ein deutsches Unternehmen ist?
Mag damit zusammenhängen, dass die Kundenumgebung nicht betroffen sein soll. Das bestätigt auch ein externes Expertenteam. Damit augenscheinlich keine Gefahr für Kunden und aus Sicht des BSI vielleicht deshalb kein Grund zur Warnung?
Ich mag TeamViewer, AnyDesk und Co. auch nicht. Aber dass sich ein externes Expertenteam kaufen lässt und Gefällligkeits-Urteile abgibt, halte ich für weit hergeholt.
Was hat Teamviewer mit dem BSI am Hut oder umgekehrt?
Nun ja, beim AnyDesk-Fall gab es eine Warnung TLP:AMBER+STRICT des BSI an den KRITIS-Kreis. Wenn mich nicht alles deuscht, segelt Teamviewer in der gleichen Klasse der Fernwartungssoftware. Das ist imho der Kontext des Kommentars von TBR.
Meine Interpretation: Das BSI sieht derzeit keine Veranlassung für eine Warnung, weil es keine Erkenntnisse gibt, dass die Teamviewer-Produktivsysteme betroffen waren, ergo Teamviewer-Nutzer nicht als gefährdet angesehen werden. Der Fall Teamviewer scheint nach bisherigen Erkenntnissen etwas anders als Anydesk gelagert zu sein.
Das habe ich auch nicht behauptet. Dennoch wäre eine Meldung wünschenswert. Ob der Vorfall sich noch ausweitet ist noch offen.
Ich habe auch nicht behauptet, dass du das behauptet hast ;-)
Aber ich lese hier im Blog schon lange genug mit, dass solche Mutmaßungen schnell aufkommen
Fyi: Update Statement heute 18:10 online
Hab es schon von AnyDesk im Mail-Eingang gesehen, aber noch nicht verarbeitet. Hier der Text:
Die Nachricht von Teamviewer ist so geil….
Platz 1 im Buzzword-Bullshit-Bingo und in der Kategorie "Viele Worte, kein Inhalt".
Unser Response-Team… Die sitzen rum und reagieren nur, wenn was passiert?
Weltweit anerkannte IT-Sicherheitsexpertzen. Anerkannt von wem genau? Und auch qualifiziert nach weltweit gültigen Standards?
Wenn die Sicherheit so wichtig ist: Wieso ergreift man erst nach einem bzw. mehreren Hacks Schutzmaßnahmen?
Gibt es noch ein Update? Seit dem 30.06.2024 ist dort Stille.
Tja – momentan geben die wohl keinen neuen Infos raus. Seit Sonntag ist Sendepause. Das ist verwunderlich oder schlechte Informationspolitik.
Oder Sie können nicht mehr, weils doch schief ging und der ungewollte Besuch sich "besser positioniert" hat ^^
Security Update – 4. Juli, 2024, 20:15 Uhr MESZ
Acht Tage nach Entdeckung des Cyber-Sicherheitsvorfalls vom 26. Juni und nach Ausschöpfen aller relevanten Ermittlungsoptionen, ist die unmittelbare Untersuchungsphase in Bezug auf den Vorfall abgeschlossen. Basierend auf den Ergebnissen dieser gemeinsamen Untersuchung mit führenden Cybersicherheitsexperten von Microsoft bestätigen wir erneut, dass der Vorfall auf unsere interne Corporate IT-Umgebung beschränkt war. Dies bedeutet, dass weder unsere separate Produktumgebung, noch die Konnektivitätsplattform, noch Kundendaten betroffen waren.
Diese Ergebnisse bestätigen, dass die Nutzung unserer Software-Lösungen zu jedem Zeitpunkt sicher war und weiterhin ist. Wir schätzen das ungebrochene Vertrauen unserer Kunden in unsere Produkte, Sicherheitsarchitektur und Incident Response-Fähigkeiten.
Die unmittelbar ergriffenen Gegenmaßnahmen in Bezug auf unsere interne Corporate IT-Umgebung sowie die zusätzlich eingeführten Schutzmaßnahmen haben sich als sehr wirksam erwiesen: Nachdem unsere Sicherheitsteams den Angriff direkt nach Entdeckung unterbunden hatten, gab es keine weitere verdächtige Aktivität in unserer internen Corporate IT Umgebung mehr.
Da wir die Bedrohung sehr ernst nehmen, werden wir unsere Untersuchungen fortsetzen und die Situation weiterhin aufmerksam beobachten. Mit diesem Statement schließen wir die regelmäßigen Updates zu dem Vorfall ab.
Sicherheit ist Teil unserer DNA. Wir werden wie in den vergangenen Jahren auch weiterhin in unsere ausgezeichnete Sicherheitsarchitektur investieren.