{"id":292112,"date":"2024-02-12T13:35:40","date_gmt":"2024-02-12T12:35:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292112"},"modified":"2024-02-20T11:05:17","modified_gmt":"2024-02-20T10:05:17","slug":"anydesk-hack-revoke-chaos-bei-alten-zertifikaten-teil-11","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/12\/anydesk-hack-revoke-chaos-bei-alten-zertifikaten-teil-11\/","title":{"rendered":"AnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten? – Teil 11"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Nachdem nun klar ist, dass der Anbieter von Fernwartungssoftware, AnyDesk, im Dezember 2023 Opfer eines Hacks seiner Produktionsumgebung wurde, steht ein Zertifikatswechsel f\u00fcr die digitale Signierung der AnyDesk-Clients an. Nach meinen aktuellen Beobachtungen l\u00e4uft es auf eine \"Revoke-Chaos\" hin – ab morgen ist das alte\u00a0 Zertifikat der \"philandro Software GmbH\" ung\u00fcltig. Clients die mit diesem Zertifikat signiert sind, d\u00fcrften dann nicht mehr ausgef\u00fchrt werden. Ach ja, schon mitbekommen, dass die Sprachregelung \"der Hack fand Ende Dezember 2023 statt\" auch kassiert wurde und jetzt von \"Dezember 2023\" die Rede ist?<\/p>\n

<\/p>\n

Das Drama mit dem AnyDesk-Hack<\/h2>\n

\"\"Ich habe den, sich zum Drama entwickelnden Verlauf des, AnyDesk-Hacks hier im Blog ja nachgezeichnet. Ausgehend von meinem, Ende Januar 2024, aufgekommenen Verdacht (siehe AnyDesk und die St\u00f6rungen: Es ist wom\u00f6glich was im Busch<\/a>), dass die \"technischen Probleme\" bei AnyDesk die Folgen eines Hacks sind, gibt es seit dem 2. Februar 2024 ja Klarheit. AnyDesk hat zu diesem Tag einen Hack seiner Produktivumgebung best\u00e4tigt, bei dem auch Quellcodes und wohl private Schl\u00fcssel zum digitalen Signieren von Bin\u00e4rdateien abhanden kamen (siehe AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> \u2013 Teil 1).<\/p>\n

Z\u00e4he Information der \u00d6ffentlichkeit<\/h3>\n

Seit meinem ersten Bericht gibt AnyDesk nur sehr z\u00f6gerlich Details gegen\u00fcber der \u00d6ffentlichkeit preis – meist erst dann, wenn hier im Blog oder in abgeleiteten Beitr\u00e4gen anderer Medien neue Insights berichtet werden. So ist inzwischen bekannt, dass dieser Hack am 20. Dezember 2023 bemerkt wurde – etwas, was ich hier im Blog erstmals aufgegriffen habe (siehe AnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt?<\/a> \u2013 Teil 9). Kunden wurden meines Wissens bisher nicht \u00fcber den Vorfall informiert.<\/p>\n

Neue Sprachregelung in der FAQ<\/h3>\n

In diesem Kontext ist es empfehlenswert, auf Wort-Nuancen zu achten. Zum 7. Februar 2024 hat AnyDesk eine FAQ zum Vorfall<\/a> ver\u00f6ffentlicht. Dort hie\u00df es noch:<\/p>\n

\"Diligent forensic investigation revealed that the incident had started in late December 2023.\"<\/p><\/blockquote>\n

wie ein Blog-Leser in diesem Kommentar<\/a> festgehalten hat – ich hatte das im Beitrag AnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt?<\/a> \u2013 Teil 9 auch nochmals so dokumentiert. Sprich: Es hei\u00dft \"der Vorfall hat Ende Dezember 2023<\/strong> stattgefunden\". Ich hatte in meinem Blog-Beitrag Teil 9 aber einen Verdacht aufgeworfen, dass der Angriff wesentlich fr\u00fcher stattgefunden haben k\u00f6nnte. Stichworte waren Atlassian, ein Produkt, welches Schwachstellen aufwies, die im November 2023 ausgenutzt wurden. Und AnyDesk hat Atlassian-Produkte in seiner Produktivumgebung im Einsatz.<\/p>\n

Beim Schreiben dieses Blog-Beitrags habe ich mir die FAQ von AnyDesk<\/a> nochmals angesehen. Interessant ist, dass in der FAQ von AnyDesk mit dem Update vom 9. Februar 2024 eine neue Sprachregelung Einzug h\u00e4lt. Dort findet sich nun die Passage:<\/p>\n

\"Our forensic investigation has revealed that the incident started in December 2023.\"<\/p><\/blockquote>\n

Es gibt zwar schon mal Stimmen, die den Vorwurf \"zu viel Spekulation hier im Blog\" erheben. Aber ich interpretiere die obigen Nuancen in zweierlei Richtungen. Erstens zeichnet es sich ab, dass ich mit meinen, oft als Fragen formulierten, Vermutungen richtig lag. Und zweitens h\u00e4lt AnyDesk die Aussage \"Der Angriff hat am 20. Dezember 2023\" oder \"Der Angriff hat Ende Dezember 2023 begonnen\" wohl nicht mehr aufrecht. Mit anderen Worten: Es gibt wohl Anzeichen, dass der Angriff deutlich fr\u00fcher, als Ende Dezember 2023 eingeleitet wurde.<\/p>\n

Stand beim Zertifikate-Revoke<\/h2>\n

Kommen wir zum Kern des heutigen Beitrags. Beim Hack kann ja nicht ausgeschlossen werden, dass auch die privaten Schl\u00fcssel f\u00fcr die Zertifikate, die zum digitalen Signieren von Bin\u00e4rdateien (AnyDesk-Client) verwendet werden, abgeflossen sind. Von AnyDesk wurde zum 2. Februar 2024 kommuniziert, dass man die Zertifikate zum digitalen Signieren der Clients \"binnen 2 Wochen\" widerrufen\" (revoken) werde.<\/p>\n

Neuer Client, neues Zertfiikat<\/h3>\n

In der Zwischenzeit hatte AnyDesk ja damit begonnen, den AnyDesk Client 8.0.8 f\u00fcr Windows mit einem neuen, auf die AnyDesk GmbH ausgestellten Zertifikat digital zu signieren. Allerdings wurden die Customs Clients weiterhin mit dem alten Zertifikat der \"philandro Software GmbH\" mit G\u00fcltigkeit ab 13. Dezember 2021, signiert. Ich hatte dazu was im Blog-Beitrag AnyDesk-Hack \u2013 Hinweise zum Zertifikatstausch bei Customs-Clients 7.x<\/a> \u2013 Teil 7 geschrieben.<\/p>\n

Altes Zertifikat revoked<\/h3>\n

Auf Grund der Berichterstattung hier im Blog hat eine dritte Partei den Zertifikatsaussteller DigiCert kontaktiert, auf den Sachverhalt hingewiesen und um \u00dcberpr\u00fcfung gebeten. DigiCert hat dann das alte Zertifikat der \"philandro Software GmbH\" f\u00fcr ung\u00fcltig erkl\u00e4rt. Ich hatte das im Blog-Beitrag AnyDesk-Hack zum Dezember 2023 best\u00e4tigt; Altes Zertifikat zur\u00fcckgerufen<\/a> \u2013 Teil 10 zeitnah aufgegriffen. Es gibt einige Aussagen in Kommentaren<\/a> hier im Blog, dass mit dem alten Zertifikat signierte Software im Windows Defender bereits gesperrt wurde – und es ist nur eine Frage der Zeit, bis das digitale Zertifikat von Windows oder anderen Betriebssystemen als ung\u00fcltig ausgewiesen und der Start der so signierten Clients verhindert wird.<\/p>\n

Custom Clients nicht mehr erzeugbar<\/h3>\n

Es deutete sich ja bereits in den Kommentaren<\/a> hier im Blog an: AnyDesk hat inzwischen die Funktion zum Erstellen neuer Custom Clients in seinem Kundenportal deaktiviert. Olaf schrieb, dass er seit dem 9. Februar 2024 (ab sp\u00e4ten Nachmittag) keinen Custom Client im Portal (I) mehr erzeugen k\u00f6nne, da die Funktion deaktiviert wurde (die betreffende Ansicht sei ausgegraut). Wurde von einem weiteren Nutzer best\u00e4tigt.<\/p>\n

Neue Versionen sollen kommen<\/h3>\n

Auf der FAQ-Seite von AnyDesk<\/a> hei\u00dft es zum Thema, wie Nutzer die AnyDesk-Clients absichern und gew\u00e4hrleisten sollen, dass keine infizierten Versionen verwendet werden:<\/p>\n

…, we will shortly be issuing software updates for all version and custom clients with a new certificate.<\/p>\n

Therefore, we are asking customers to update their AnyDesk version as soon as the updates are available. Once the new software updates have been rolled out, current certificates will be revoked.<\/p><\/blockquote>\n

Man will also neue Client-Versionen mit neuem Zertifikat ausrollen und das alte Zertifikat widerrufen. F\u00fcr Windows soll es AnyDesk 8.0.8 mit neuem Zertifikat geben. Weiterhin soll es im Stable Channel ein automatisches Update des AnyDesk-Clients auf die Version 7.0.15 gegeben haben.<\/p>\n

Aktuell sei aber noch der AnyDesk Custom Client Version 7.0.14, ein Update soll kommen. Auch die On-Premises-Clients stecken noch auf der Version 7.0.14 fest. Es gibt wohl die Seite Update AnyDesk<\/a>, wo beschrieben ist, wie sich die Clients updaten lassen.<\/p>\n

Altes Zertifikat l\u00e4uft am 13. Februar 2024 ab<\/h3>\n

Kommen wir zum gro\u00dfen Knackpunkt. Wie ich es aktuell sehe, lassen sich aktuell keine Custom Client mit neuem Zertifikat, ausgestellt auf die AnyDesk GmbH, erstellen. Generell hat der Hersteller die Generierung von Custom Clients wohl vor\u00fcbergehend deaktiviert. Ob irgend ein Client auf die Version 7.0.15 automatisch aktualisiert wurde, kann ich nicht sagen – vielleicht schreibt die Leserschaft, die das pr\u00fcfen kann, was dazu.<\/p>\n

Was passiert nun mit den alten Versionen (< 7.0.15), drau\u00dfen bei den Nutzern vorhandenen AnyDesk-Clients? Das digitale Zertifikat der \"philandro Software GmbH\" wurde ja f\u00fcr ung\u00fcltig erkl\u00e4rt. In diesem Zusammenhang hatte Blog-Leser Simon in diesem Kommentar<\/a> ja bereits darauf hingewiesen, dass die n\u00e4chste Zertifikatsaktualisierung am 15. Februar 2024 erfolgen soll – ab diesen Zeitpunkt m\u00fcssten die mit diesem Zertifikat signierten Programmdateien von den Betriebssystemen abgewiesen werden. Nun hat sich heute ein Leser per Mail gemeldet und schrieb:<\/p>\n

Anydesk – Chaos geht weiter<\/strong><\/p>\n

Hallo Herr Born,<\/p>\n

Es geht weiter. Seit heute k\u00f6nnen wir im Anydesk Portal keine Custom Clients mehr erstellen. Bestehende Clients sollen lt. Auskunft vom Support ab morgen auch nicht mehr funktionieren. War wohl doch keine so gute Idee Pakete mir dem alten Zertifikat zu verteilen.<\/p><\/blockquote>\n

Der Leser best\u00e4tigt, was in den Kommentaren hier im Blog bereits berichtet wurde: Keine Custom Clients mehr erstellbar. Und es kommt noch eine relevante Information: Die mit dem alten \"philandro Software GmbH\" Zertifikat signierten AnyDesk-Clients werden bereits ab dem 13. Februar 2024 auch nicht mehr als g\u00fcltig eingestuft – die Ausf\u00fchrung m\u00fcsste mit einer Warnung blockiert werden.<\/p>\n

Ich kann es noch nicht ganz werten: Aber f\u00fcr mich sieht es so aus, als ob es am morgigen 13. Februar 2023 f\u00fcr einige AnyDesk-Kunden ein b\u00f6ses Erwachen geben k\u00f6nnte, wenn die Clients wegen des zur\u00fcckgezogenen Zertifikats nicht mehr ausgef\u00fchrt werden k\u00f6nnen. Oder hat jemand da anderslautende Informationen bzw. kennt eine AnyDesk-Seite, wo das eindeutig erkl\u00e4rt und aufgel\u00f6st wird?<\/p>\n

Alt-Clients vermutlich nicht betroffen<\/h3>\n

Erg\u00e4nzung:<\/strong> Es wurde wurde u.a. im Kommentar hier<\/a> bereits angesprochen. AnyDesk-Clients, die mit dem alten \"philandro Software GmbH\" Zertifikat vor dem 19. Dezember 2023 digital signiert wurden, werden wohl nicht ung\u00fcltig. Thomas schrieb:<\/p>\n

Ich kann auf meinem Windows 10 einen vor dem 19.12.23 signierten Custom-Client noch ausf\u00fchren, ein nachher signierter wird von Windows SmartScreen blockiert. Jeweils mit dem gleichen gesperrten Zertifikat (S\/N 0dbf152deaf0b981a8a938d53f769db8).<\/p><\/blockquote>\n

Auf Facebook habe ich von einem Blog-Leser die Info erhalten, dass er eine alte Version von AnyDesk gefunden habe, wo das Zertifikat ist noch g\u00fcltig ist.<\/p>\n

\"AnyDesk<\/a>
\nAnyDesk-Zertifikat; Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Der Signaturzeitpunkt, zu dem der Client erstellt wurde, scheint also eine Rolle zu spielen. Alles, was vor dem Stichtag 19. Dezember 2023 signiert wurde, ist wohl vom Revoke (noch) nicht betroffen. Bleibt zu hoffen, dass das Datum h\u00e4lt und auch \u00e4ltere Signatur-Varianten nicht als ung\u00fcltig erkl\u00e4rt werden – und dass mit diesen Datumswerten noch kein Missbrauch getrieben wurde.<\/p>\n

Artikelreihe:<\/strong>
\nAnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> \u2013 Teil 1
\nAnyDesk-Hack Undercover \u2013 weitere Informationen und Gedanken<\/a> \u2013 Teil 2
\nAnyDesk-Hack Undercover \u2013 Verdachtsf\u00e4lle und mehr<\/a>\u00a0 \u2013 Teil 3
\nAnyDesk-Hack Undercover \u2013 Zugangsdaten zum Verkauf angeboten<\/a> \u2013 Teil 4
\nAnyDesk-Hack \u2013 Eine Nachlese<\/a> Teil 5
\nAnyDesk-Hack \u2013 Nachlese der BSI-Meldung<\/a> \u2013 Teil 6
\nAnyDesk-Hack \u2013 Hinweise zum Zertifikatstausch bei Customs-Clients 7.x<\/a> \u2013 Teil 7
\nAnyDesk-Hack \u2013 Weitere Informationen (FAQ) vom 5. Februar 2024<\/a> -Teil 8
\nAnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt?<\/a> \u2013 Teil 9
\nAnyDesk-Hack zum Dezember 2023 best\u00e4tigt; Altes Zertifikat zur\u00fcckgerufen<\/a> \u2013 Teil 10
\nAnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten?<\/a>\u00a0 \u2013 Teil 11
\nAnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen?<\/a> \u2013 Teil 12<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSt\u00f6rung bei AnyDesk, jemand betroffen?<\/a>
\nAnyDesk und die St\u00f6rungen: Es ist wom\u00f6glich was im Busch<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Nachdem nun klar ist, dass der Anbieter von Fernwartungssoftware, AnyDesk, im Dezember 2023 Opfer eines Hacks seiner Produktionsumgebung wurde, steht ein Zertifikatswechsel f\u00fcr die digitale Signierung der AnyDesk-Clients an. Nach meinen aktuellen Beobachtungen l\u00e4uft es auf eine \"Revoke-Chaos\" hin – … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-292112","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292112","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292112"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292112\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292112"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292112"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292112"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}