{"id":291652,"date":"2024-02-08T14:30:44","date_gmt":"2024-02-08T13:30:44","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291652"},"modified":"2024-02-20T11:05:03","modified_gmt":"2024-02-20T10:05:03","slug":"anydesk-hack-zum-dezember-2023-besttigt-altes-zertifikat-zurckgerufen-teil-10","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/08\/anydesk-hack-zum-dezember-2023-besttigt-altes-zertifikat-zurckgerufen-teil-10\/","title":{"rendered":"AnyDesk-Hack zum Dezember 2023 bestätigt; Altes Zertifikat zurückgerufen – Teil 10"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Momentan werde ich bzgl. des AnyDesk-Hacks von der Entwicklung mal wieder rechts \u00fcberholt. AnyDesk hat vor wenigen Stunden best\u00e4tigt, dass der Cybervorfall \"Ende Dezember 2023\" stattgefunden habe. Zudem d\u00fcrfte das alte Zertifikat der \"philandro Software GmbH\" nun bem\u00e4ngelt werden. Hintergrund ist, dass eine dritte Stelle das \"Revoke\" bei DigiCert beantragt hatte und diesem Antrag stattgegeben wurde. Hier eine aktualisierte \u00dcbersicht, was sich die letzten 24 Stunden so getan hat.<\/p>\n

<\/p>\n

\"\"Die Informationspolitik der AnyDesk GmbH zum stattgefundenen Cybervorfall, Details nur Schritt-f\u00fcr-Schritt herauszugeben, wenn es nicht mehr zu leugnen ist, scheint einigen Leuten arg auf den Senkel zu gehen, wie ich einigen Mails an mich entnehmen kann. In meiner Artikelreihe (siehe Beitragsende) hatte ich ja vom Verdacht eines Hacks im Januar 2023 (siehe AnyDesk und die St\u00f6rungen: Es ist wom\u00f6glich was im Busch<\/a>) bis zur Best\u00e4tigung des Angriffs (siehe\u00a0 AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> \u2013 Teil 1) und im Nachgang das Thema begleitet. So l\u00e4sst sich gut verfolgen, wie der Informationsstand hier im Blog war, was das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) kommuniziert hat und was vom betroffenen Unternehmen wann offen gelegt hat. Im R\u00fcckblick wurden viele meiner hier im Blog ge\u00e4u\u00dferten Vermutungen best\u00e4tigt. Nun gibt es neue Entwicklungen.<\/p>\n

Best\u00e4tigung des Angriffs im Dezember 2023<\/h2>\n

Ich hatte ja bereits im Beitrag AnyDesk-Hack \u2013 Weitere Informationen (FAQ) vom 5. Februar 2024<\/a> -Teil 8 darauf hingewiesen, dass ich \u00fcber Informationen bzw. Indizien verf\u00fcge, dass der Cybervorfall bei AnyDesk nicht \"Mitte Januar 2024\", wie in der ersten Ausgabe der FAQ zum \"Inzident\" angegeben erfolgt sein d\u00fcrfte.<\/p>\n

Nun hat AnyDesk seine FAQ<\/a> am 7. Februar 2024 aktualisiert und schreibt, dass nach einer Untersuchung der Vorfall \"Ende Dezember 2023\" begann. Die betreffende Erg\u00e4nzung lautet (danke an den Leser f\u00fcr den Hinweis<\/a>):<\/p>\n

Diligent forensic investigation revealed that the incident had started in late December 2023.<\/p><\/blockquote>\n

Es wird also best\u00e4tigt, was ich bereits am 6. Februar 2024 auf Grund von Leserhinweisen und CERT-FR-Dokument in AnyDesk-Hack \u2013 Weitere Informationen (FAQ) vom 5. Februar 2024<\/a> -Teil 8 angedeutet und in AnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt?<\/a> \u2013 Teil 9 pr\u00e4zisiert habe.<\/p>\n

Zudem findet sich nun noch der Hinweis (siehe auch diesen Kommentar<\/a>) in der FAQ, welche Kunden vom Vorfall betroffen waren: \"Affected customers were limited to users based in continental Europe, with the exception of Spain and Portugal.\" Ob das hinreichend pr\u00e4zise f\u00fcr die Kundschaft ist, muss jeder selbst beantworten.<\/p>\n

Altes Zertifikat zur\u00fcckgerufen<\/h2>\n

Und noch eine neue Entwicklung gibt es: Es d\u00fcrfte Nutzern der AnyDesk-Clients, die mit dem alten \"philandro Software GmbH\"-Zertifikat signiert sind, nun Warnungen oder Fehler aufweisen.\u00a0 Michael schreibt in diesem Kommentar<\/a>:<\/p>\n

Scheinbar hat nun MS durch ein Update f\u00fcr SmartScreen alle philandro Zertifikate als potentiell b\u00f6sartig eingestuft, das trifft nun auch alle mit Custom Clients, die immer noch bei 7.0.14 festh\u00e4ngen da es immer noch keine 7.0.15 gibt. Somit werden die Custom Clients unbenutzbar\/nicht installierbar werden.<\/p><\/blockquote>\n

Das alte Zertifikat der \"philandro Software GmbH\" wurde zur\u00fcckgerufen. Der Gesch\u00e4ftsf\u00fchrer eines mir bekannten Unternehmens hat sich vor wenigen Minuten bei mir gemeldet und schrieb, dass erDigiCert gebeten habe, dass das alte Zertifikat der \"philandro Software GmbH\" zu revoken. Der Schriftverkehr mit DigiCert liegt mir vor – die haben den Vorgang seit dem 6. Februar 2024 gepr\u00fcft und den Widerruf des Zertifikat zum 7. Februar 2024 (Nachricht ist von 17:37 Uhr) best\u00e4tigt.<\/p>\n

\"Zertifikat<\/p>\n

Wer die Zertifikatspr\u00fcfung aufruft, sollte dann die obige Anzeige\u00a0 mit dem Status \"revoked\" erhalten. Lasst sich das bereits best\u00e4tigen? Hab keine alten Versionen und keine Zeit, das zu testen. Aber jemand schrieb auf Mastodon, dass die neuen Clients das Zertfikat als \"revoked\" anzeigen, die alten Clients aber ein g\u00fcltiges Zertifikat der \"philandro Software GmbH\" melden (siehe folgender Screenshot).<\/p>\n

\"Zertifikate<\/a><\/p>\n

Wer noch mit Customs-Clients arbeitet, die mit dem alten Zertifikat digital signiert sind, sollte den Client also dringend aktualisieren. In meinen Blog-Beitr\u00e4gen gibt es diesen Kommentar<\/a> und diesen Kommentar<\/a> mit Hinweisen (danke an die Leser), wie der Client 8.0.x bei Custom-Build ggf. erzwungen werden k\u00f6nnte.<\/p>\n

Artikelreihe:<\/strong>
\nAnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> \u2013 Teil 1
\nAnyDesk-Hack Undercover \u2013 weitere Informationen und Gedanken<\/a> \u2013 Teil 2
\nAnyDesk-Hack Undercover \u2013 Verdachtsf\u00e4lle und mehr<\/a>\u00a0 \u2013 Teil 3
\nAnyDesk-Hack Undercover \u2013 Zugangsdaten zum Verkauf angeboten<\/a> \u2013 Teil 4
\nAnyDesk-Hack \u2013 Eine Nachlese<\/a> Teil 5
\nAnyDesk-Hack \u2013 Nachlese der BSI-Meldung<\/a> \u2013 Teil 6
\nAnyDesk-Hack \u2013 Hinweise zum Zertifikatstausch bei Customs-Clients 7.x<\/a> \u2013 Teil 7
\nAnyDesk-Hack \u2013 Weitere Informationen (FAQ) vom 5. Februar 2024<\/a> -Teil 8
\nAnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt?<\/a> \u2013 Teil 9
\nAnyDesk-Hack zum Dezember 2023 best\u00e4tigt; Altes Zertifikat zur\u00fcckgerufen<\/a> \u2013 Teil 10
\nAnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten?<\/a>\u00a0 \u2013 Teil 11
\nAnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen?<\/a> \u2013 Teil 12<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSt\u00f6rung bei AnyDesk, jemand betroffen?<\/a>
\nAnyDesk und die St\u00f6rungen: Es ist wom\u00f6glich was im Busch<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Momentan werde ich bzgl. des AnyDesk-Hacks von der Entwicklung mal wieder rechts \u00fcberholt. AnyDesk hat vor wenigen Stunden best\u00e4tigt, dass der Cybervorfall \"Ende Dezember 2023\" stattgefunden habe. Zudem d\u00fcrfte das alte Zertifikat der \"philandro Software GmbH\" nun bem\u00e4ngelt werden. Hintergrund … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-291652","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291652","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291652"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291652\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291652"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291652"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291652"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}