![\"Stop](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Stop01.jpg\" "\\"Stop")
[English]Das Drama bei AnyDesk geht anscheinend weiter, obwohl ich die Hoffnung hatte, das Thema langsam abschlie\u00dfen zu k\u00f6nnen – denn nach Teil 12 schien alles geschrieben. Aber ein Blog-Leser hat mich nun dar\u00fcber informiert, dass bei seinen Kunden wohl Zugriffsversuche aus Spanien erfolgen. Und ein weiterer Blog-Leser hat mich Minuten versetzt dar\u00fcber informiert, dass von AnyDesk wohl ein Client ohne digitale Signatur per MSI-Installer verteilt wurde. <\/p>\n
<\/p>\n
Ich hatte es ja in den Blog-Beitr\u00e4gen, die am Artikelende verlinkt sind, aufbereitet. Der Anbieter von Fernwartungssoftware, AnyDesk, ist im Dezember 2023 Opfer eines Hacks geworden. Das genaue Datum des Angriffs sowie der Umfang der Kompromittierung sind bis heute in der \u00d6ffentlichkeit nicht bekannt. Seit diesem Hack ist die AnyDesk-Software in meinen Augen als kompromittiert anzusehen. Der Hersteller hat zwar seit Mitte Februar 2024 damit begonnen, die Clients mit einer neuen Signatur zu versehen und zu verteilen. <\/p>\n
Aber die neueste Information, die mir vorliegt, war, dass die AnyDesk-Clients von dem in Windows 10\/11 enthaltenen Microsoft Defender blockiert werden. Auf Facebook habe ich dann die R\u00fcckmeldung bekommen, dass auch andere Virenscanner die AnyDesk-Clients als sch\u00e4dlich blockieren und in Quarant\u00e4ne verschieben. Nun gibt es gleich zwei weitere Meldungen im Umfeld von AnyDesk, auf die ich mir keinen richtigen Reim machen kann.<\/p>\n
Die erste Meldung erreichte mich von Marc Funk<\/a>, der als IT-Dienstleister unterwegs ist. Marc setzt einen Custom-Client von AnyDesk f\u00fcr seine IT-Wartung bei Kunden ein. Nun wurde Marc durch Zugriffsversuche aus Spanien auf AnyDesk-Clients aufgeschreckt. In seiner E-Mail schrieb er:<\/p>\n Hallo Herr Born!<\/p>\n Kleines Update zum Thema Anydesk: Es erscheinen bei Kunden Zugriffsversuche augenscheinlich aus Spanien – denn \"Usuraios\" ist Spanisch f\u00fcr \"Benutzer\". <\/p>\n Unsere Installation: Eigener AnyDesk Client mit festem Passwort (25 Zeichen, Zahlen, Gro\u00df-\/Kleinschreibung und mehre Sonderzeichen)<\/p>\n Bisher fragen die Kunden bei uns dann nach und dr\u00fccken nicht einfach auf annehmen – entsprechend warnen wir alle Kunden aktuell auch nochmal.<\/p>\n<\/blockquote>\n Das ist nat\u00fcrlich eine ungute Situation: Auf die AnyDesk-Clients der Kunden versuchen wohl Dritte zuzugreifen. Nimmt der Kunde diese Verbindungsanforderung an, ist der unbekannte Dritte auf dem System. Marc hat mir noch nachfolgendes Foto einer solchen Anfrage auf einem Kundensystem mitgeschickt. <\/p>\n Ich hatte, weil zeitgleich die nachfolgende Meldung eintraf, nach der Signatur gefragt. Aber der Client, den Marc verwendet, ist von AnyDesk digital signiert worden. <\/p>\n Blog-Leser Toni K. arbeitet f\u00fcr einen IT-Dienstleister, der wohl auch den AnyDesk-Client f\u00fcr seine Kunden einsetzt. Seit Wochen sind wir nun dabei, die Nutzer der Clients zu briefen, auf die digitale Signatur der Software zu achten. Nun informierte Toni mich \u00fcber einen Mail-Austausch mit AnyDesk, wo er einen \"MSI Installer\" moniert, der \"eine AnyDesk.exe<\/em> ohne Code-Signatur\" installiert. Nachfolgend ist ein Screenshot des Desktop mit den betreffenden Dialogfeldern, die die Zertifikatinformationen anzeigen, zu sehen. <\/p>\n Das obige Bild l\u00e4sst sich durch Anklicken vergr\u00f6\u00dfern. Wenn ich es richtig aus der knappen Mail interpretiere, zeigt es Custom-Client aus V1 und V2 in den Versionen 7.0.15 und 8.0.8. Im Screenshot sieht man im linken Teil die Dialogfelder mit der digitalen Signatur des Client-Installer (AnyDeskClient.msi<\/em>). Dort ist eine Signatur enthalten. <\/p>\n Ich hatte mir diese MSI-Datei besorgt und mit 7-ZIP entpackt. Die betreffende Zieldatei mit dem AnyDesk-Client wies keine digitale Signatur auf. Zur Sicherheit habe ich den AnyDesk-Client aus der AnyDeskClient.msi <\/em>in einer virtuellen Maschine installieren lassen. Bei der \u00dcberpr\u00fcfung der installierten Datei AnyDesk-ad_2b68cc31_msi<\/em> sagt mir Windows, dass keine digitale Signatur gefunden wird. Das entspricht in obigem Screenshot dem rechten Teil mit den Eigenschaftenfenstern. Der AnyDesk-Client vom 4. M\u00e4rz 2024 ist nicht digital signiert – die Registerkarte f\u00fcr die digitale Signatur fehlt. <\/p>\n Mir sieht es so aus, als ob beim Build-Prozess des MSI-Installers f\u00fcr den Customs-Clients (zumindest tempor\u00e4r) was schief gelaufen ist, wodurch unsignierte Dateien ausgerollt werden. Toni versuchte die AnyDesk-Support auf das Problem hinzuweisen und schrieb diesem: \"Die aus dem MSI-Paket extrahierte und installierte AnyDesk.exe ist UNSIGNIERT! \" Vom AnyDesk-Support kam die R\u00fcckmeldung \"F\u00fcr die weitere Untersuchung ben\u00f6tigen wir eine Bildschirmaufzeichnung der Stelle, an der die Signatur im MSI-Paket fehlt.\" Toni meint dazu: \"der Support von Anydesk ist wirklich ein Debakel, ich bin fassungslos.\" <\/p>\n Es sieht mir so aus, als ob beim AnyDesk-Support die Leute ziemlich ausgebrannt sind und mehr oder weniger von den Ereignissen \u00fcberrollt werden. An dieser Stelle meine Frage an die Leserschaft: Sind bei euch auch F\u00e4lle aufgetreten, wo unsignierte AnyDesk-Clients installiert wurden?<\/p>\n Artikelreihe:<\/strong> \u00c4hnliche Artikel:<\/strong> [English]Das Drama bei AnyDesk geht anscheinend weiter, obwohl ich die Hoffnung hatte, das Thema langsam abschlie\u00dfen zu k\u00f6nnen – denn nach Teil 12 schien alles geschrieben. Aber ein Blog-Leser hat mich nun dar\u00fcber informiert, dass bei seinen Kunden wohl Zugriffsversuche … Weiterlesen \n
![\"AnyDesk-Sitzungsanfrage\"](\"https:\/\/i.postimg.cc\/zXN2398P\/image.png\"\/ "\\"AnyDesk-Sitzungsanfrage\\"")
<\/p>\nAnyDesk-Client ohne Digital-Signatur verteilt<\/h2>\n
![\"Unsignierter](\"https:\/\/i.postimg.cc\/RZ7HhDCG\/image.png\" "\\"Unsignierter")
<\/a>
Unsignierter AnyDesk-Client, zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> \u2013 Teil 1
AnyDesk-Hack Undercover \u2013 weitere Informationen und Gedanken<\/a> \u2013 Teil 2
AnyDesk-Hack Undercover \u2013 Verdachtsf\u00e4lle und mehr<\/a> \u2013 Teil 3
AnyDesk-Hack Undercover \u2013 Zugangsdaten zum Verkauf angeboten<\/a> \u2013 Teil 4
AnyDesk-Hack \u2013 Eine Nachlese<\/a> Teil 5
AnyDesk-Hack \u2013 Nachlese der BSI-Meldung<\/a> \u2013 Teil 6
AnyDesk-Hack \u2013 Hinweise zum Zertifikatstausch bei Customs-Clients 7.x<\/a> \u2013 Teil 7
AnyDesk-Hack \u2013 Weitere Informationen (FAQ) vom 5. Februar 2024<\/a> -Teil 8
AnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt?<\/a> \u2013 Teil 9
AnyDesk-Hack zum Dezember 2023 best\u00e4tigt; Altes Zertifikat zur\u00fcckgerufen<\/a> \u2013 Teil 10
AnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten?<\/a> \u2013 Teil 11
AnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen?<\/a> \u2013 Teil 12 <\/p>\n
St\u00f6rung bei AnyDesk, jemand betroffen?<\/a>
AnyDesk und die St\u00f6rungen: Es ist wom\u00f6glich was im Busch<\/a>
AnyDesk ist down \u2013 was ist da los? (23. Feb. 2024)<\/a>
Microsoft Defender blockt Anydesk-Clients (28. Februar 2024)<\/a>
AnyDesk: Zugriffsversuche aus Spanien; Unsignierter Client verteilt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"