{"id":292817,"date":"2024-02-28T16:27:37","date_gmt":"2024-02-28T15:27:37","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292817"},"modified":"2024-03-02T13:11:26","modified_gmt":"2024-03-02T12:11:26","slug":"microsoft-defender-blockt-anydesk-clients-28-februar-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/28\/microsoft-defender-blockt-anydesk-clients-28-februar-2024\/","title":{"rendered":"Microsoft Defender blockt Anydesk-Clients (28. Februar 2024)"},"content":{"rendered":"

\"Stop[English<\/a>]Kurze Information in die Runde. Gerade habe ich \u00fcber Blog-Leser mitbekommen, dass die Clients des Fernwartungsanbieters AnyDesk wohl ab heute (28. Februar 2024) vom Microsoft Defender unter Windows blockiert werden. Das Ganze h\u00e4ngt mit dem Hack des Anbieters AnyDesk zusammen, bei dem m\u00f6glicherweise Zertifikate abhanden gekommen sind. Hier eine kurze Bestandsaufnahme – oder Fortsetzung des Chaos, wenn man dies so betrachten will.<\/p>\n

<\/p>\n

Lesermeldungen \u00fcber geblockte Clients<\/h2>\n

\"\"Blog-Leser Peter H. hat sich heute per Mail bei mir gemeldet und berichtete, dass der in Windows enthaltene Defender sei dem neuesten Signatur-Update die AnyDesk-Clients blockierte. In seiner Mail hei\u00dft es:<\/p>\n

Nun m\u00f6chte ich mit Dir folgende Erfahrung teilen: Seit HEUTE (bzw. letzten Defender Signatur Update) blockt Defender alle Downloads als auch die Ausf\u00fchrung von Anydesk (aktuell v7.0.15) und stuft diese als PUA.Win32.Softcnapp ein.<\/p><\/blockquote>\n

\"Defender<\/a>
\nDefender blockt AnyDesk, Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Peter schrieb mir, dass die in nachfolgendem Screenshot sichtbar Signatur im Defender verwendet wird\u00a0 dessen Signaturdateien sind also auf dem aktuellen Stand:
\n\"Defender-Signatur\"<\/p>\n

Auch hier im Blog hat sich Leser Harald in diesem Kommentar<\/a> gemeldet und schreibt, dass \"seit heute der Windows Defender auf die aktuellen AnyDesk Clients mit aktueller Signatur anspringt und sie als potentiell unerw\u00fcnschte Programme meldet\". Karsten hat sich ebenfalls im Diskussionsbereich mit diesem Hinweis gemeldet. Ich ziehe es mal separat heraus, da ich die Diskussionseintr\u00e4ge sporadisch l\u00f6sche.<\/p>\n

Die neuen anyDesk-Clients werden heute vom Microsoft Defender als unerw\u00fcnschte App blockiert. 'PUA:Win32\/Softcnapp' wird als Grund gemeldet.<\/p><\/blockquote>\n

Wir reden hier von den neu freigegebenen Clients, die mit neuem digitalen Zertifikat der AnyDesk GmbH digital signiert wurden. Auch Leser Daniel hat in einer Mail auf diese Erfahrung hingewiesen. Dort wird ein Kunden-Client verwendet, also die neuesten Versionen der speziell angepassten AnyDesk-Software, die beim Herunterladen sofort von Windows Defender mit dem Hinweis auf einen vermeintlichen Trojaner (MicrosoftTrojan:Win32\/Phonzy.A!ml) blockiert werden. Auch Virustotal<\/a> meldet den Trojaner.<\/p>\n

Karsten verwies noch auf den reddit.com-Beitrag Anydesk custom client is blocked by Microsoft Defender<\/a>, wo ein weiter Nutzer das Verhalten des Defender best\u00e4tigt.<\/p>\n

Hello,<\/p>\n

since this morning, Anydesk custom client, from my.anydesk 1 and 2 (.exe and .msi) is blocked by Defender.<\/p>\n

Defender detected and terminated active 'PUA:Win32\/Softcnapp' in process 'AnyDesk.exe' during a scheduled scan<\/p>\n

Anybody have the same situation ?<\/p><\/blockquote>\n

Im betreffenden Thread best\u00e4tigen weitere Nutzer das Problem. Ein Nutzer doud_doud<\/em> gibt eine Antwort des AnyDesk-Supports wieder:<\/p>\n

Sorry for this inconvenience. Our team is actively investigating the root cause of this issue.<\/p>\n

The current solution, if nothing is configured and a false positive notification arises, would be to manually add an exception\/rule for AnyDesk.<\/p>\n

There is no risk in using AnyDesk. Therefore, you can download and install AnyDesk safely.<\/p>\n

We appreciate your patience and understanding.<\/p><\/blockquote>\n

Die sind nun in echte Probleme gerauscht, wenn der AnyDesk-Client jetzt auf sehr vielen Systemen als unerw\u00fcnscht blockiert und in Quarant\u00e4ne verschoben wird. Die Empfehlung: Eine Ausnahme f\u00fcr den Client im Defender definieren, damit dieser nicht mehr blockiert wird. Der Br\u00fcller des Monats ist \"There is no risk in using AnyDesk. Therefore, you can download and install AnyDesk safely.\".<\/p>\n

Der Hintergrund<\/h2>\n

Hintergrund des Ganzen ist wohl, dass der Anbieter AnyDesk im Dezember 2023 Opfer eines Cyberangriffs auf seine Produktivsysteme wurde. Das Ganze kam aber erst Anfang Februar 2024 h\u00e4ppchenweise ans Tageslicht – m\u00f6glicherweise auch auf Grund der Berichterstattung hier im Blog (siehe Links am Artikelende). AnyDesk konnte nicht ausschlie\u00dfen, dass die Schl\u00fcssel f\u00fcr die Zertifikate, die zum digitalen Signieren von Dateien benutzt werden, abhanden gekommen sind. Daher wurden die alten Zertifikate widerrufen und der Anbieter war im Februar damit befasst, neue Clients mit aktualisierter digitaler Signatur bereitzustellen. Vielleicht ist beim \"Bauen der neuen Clients\" irgend etwas in die Bin\u00e4rdateien geraten, welches den Defender veranlasst, das Ganze als unerw\u00fcnscht anzusehen. Hier wird man abwarten m\u00fcssen, ob AnyDesk die Situation mit Microsoft bereinigen kann – sofern man den AnyDesk Client \u00fcberhaupt noch einsetzen will.<\/p>\n

R\u00fcckmeldung von AnyDesk<\/h2>\n

Ein Blog-Leser hat vom AnyDesk-Support eine Antwort auf seine Anfrage gestellt. Die ist kurz und b\u00fcndig: \"Danke, dass Sie sich bei uns gemeldet haben!\u00a0Wenn Sie Defender-Warnungen erhalten, aktualisieren Sie bitte Ihre Windows Defender-Definition wie folgt<\/a>.\u00a0In der Zwischenzeit k\u00f6nnen Sie sich gerne an mich wenden, wenn Sie Fragen oder Bedenken haben. Vielen Dank!\"<\/p>\n

Artikelreihe:<\/strong>
\nAnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> \u2013 Teil 1
\nAnyDesk-Hack Undercover \u2013 weitere Informationen und Gedanken<\/a> \u2013 Teil 2
\nAnyDesk-Hack Undercover \u2013 Verdachtsf\u00e4lle und mehr<\/a>\u00a0 \u2013 Teil 3
\nAnyDesk-Hack Undercover \u2013 Zugangsdaten zum Verkauf angeboten<\/a> \u2013 Teil 4
\nAnyDesk-Hack \u2013 Eine Nachlese<\/a> Teil 5
\nAnyDesk-Hack \u2013 Nachlese der BSI-Meldung<\/a> \u2013 Teil 6
\nAnyDesk-Hack \u2013 Hinweise zum Zertifikatstausch bei Customs-Clients 7.x<\/a> \u2013 Teil 7
\nAnyDesk-Hack \u2013 Weitere Informationen (FAQ) vom 5. Februar 2024<\/a> -Teil 8
\nAnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt?<\/a> \u2013 Teil 9
\nAnyDesk-Hack zum Dezember 2023 best\u00e4tigt; Altes Zertifikat zur\u00fcckgerufen<\/a> \u2013 Teil 10
\nAnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten?<\/a>\u00a0 \u2013 Teil 11
\nAnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen?<\/a> \u2013 Teil 12<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSt\u00f6rung bei AnyDesk, jemand betroffen?<\/a>
\nAnyDesk und die St\u00f6rungen: Es ist wom\u00f6glich was im Busch<\/a>
\nAnyDesk ist down \u2013 was ist da los? (23. Feb. 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kurze Information in die Runde. Gerade habe ich \u00fcber Blog-Leser mitbekommen, dass die Clients des Fernwartungsanbieters AnyDesk wohl ab heute (28. Februar 2024) vom Microsoft Defender unter Windows blockiert werden. Das Ganze h\u00e4ngt mit dem Hack des Anbieters AnyDesk zusammen, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[2699,4313],"class_list":["post-292817","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-defender","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292817","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292817"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292817\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292817"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292817"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292817"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}