{"id":294803,"date":"2024-04-26T23:33:13","date_gmt":"2024-04-26T21:33:13","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294803"},"modified":"2024-04-29T15:45:58","modified_gmt":"2024-04-29T13:45:58","slug":"anydesk-client-neue-zertifikatsprobleme-zum-25-april-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/26\/anydesk-client-neue-zertifikatsprobleme-zum-25-april-2024\/","title":{"rendered":"AnyDesk Client: Neue Zertifikatsprobleme zum 25. April 2024"},"content":{"rendered":"

\"Stop[English]Kurze Information in die Runde samt Nachfrage, wer von dem Vorfall betroffen ist. Zum 25. April 2024 hat der Fernwartungsanbieters AnyDesk wohl eine \"faule\" Version seines AnyDesk-Clients ausgerollt, die vom Microsoft Defender unter Windows blockiert wird. Hintergrund ist, dass der Client mit einem zur\u00fcckgezogenen Zertifikat digital signiert wurde. Ich bin gleich von mehreren Blog-Lesern auf das Problem hingewiesen worden, komme aber erst jetzt dazu, dieses im Blog aufzugreifen. Hier eine kurze Bestandsaufnahme der Fortsetzung des Chaos rund um AnyDesk.<\/p>\n

<\/p>\n

Leser melden blockierten AnyDesk-Client<\/h2>\n

\"\"Es gibt einmal diesen Kommentareintrag<\/a> von Harry <\/cite>zu meinem Blog-Beitrag Microsoft Defender blockt Anydesk-Clients (28. Februar 2024)<\/a>, in dem es darum ging, dass der Microsoft Defender unter Windows die Clients des Fernwartungsanbieters AnyDesk blockiert. Das Problem von Ende Februar 2024 ist nun wohl zum 25. April 2024 erneut aufgetreten. Harry schrieb:<\/p>\n

Die unendliche Geschichte des Versagens bei AnyDesk geht weiter: Heute, 25.4.24, frisch runter geladen. Defender meckert, aber mit \"trotzdem ausf\u00fchren\" kann man es starten. Installieren allerdings l\u00e4sst es sich nicht, da stellt sich Windows quer.<\/p><\/blockquote>\n

und merkt an, dass die Anydesk.exe <\/em>ein Zertifikat vom 24.4.2024 aufweist. Der Client ist also frisch mit einem Zertifikat von AnyDesk signiert worden. Auch Blog-Leser Drago<\/cite> best\u00e4tigt das Problem und schreibt, dass er eine \"h\u00fcbsche rote Warnung\"\u00a0 bekomme.<\/p>\n

Erkl\u00e4rung des Verhaltens<\/h2>\n

Blog-Leser Kevin H. hatte mich zum 25. April 2024 kurz angerufen, und das Thema skizziert (durch meinen Klinikaufenthalt konnte ich die Information nicht zeitnah umsetzen und liefere das nun nach). Kevin schrieb mir, dass sie seit dem Sicherheitsvorfall bei AnyDesk diese Software genau im Blick haben. Daher ist ihm nicht entgangen, dass zum 25. April 2024 (vielleicht schon einen Tag fr\u00fcher) mutma\u00dflich ein neuer Client ver\u00f6ffentlicht wurde.<\/p>\n

Kevin best\u00e4tigte, dass dieser AnyDesk-Client be bei einigen Antivirus-Anbietern einen Alarm ausl\u00f6st und dass der Windows Defender die Ausf\u00fchrung des AnyDesk-Clients verhindert. Der Leser hat den Client mal auf Virustotal hochgeladen und bekam diese R\u00fcckmeldung<\/a>.<\/p>\n

\"AnyDesk-Client<\/a>
\nAnyDesk-Client auf VirusTotal<\/p>\n

ClamAV nennt als Grund \"Revoked.CRT.AnyDesk_Compromise-1002\", also etwas mit dem zur\u00fcckgezogenen Zertifikat. Kevin schrieb dazu: \"Auff\u00e4llig ist, dass man hier wieder die bereits zur\u00fcckgezogene Signatur verwendet, was hoffentlich der einzige Grund ist dass AV Systeme Alarm schlagen – aber so ein Patzer ist ein wenig vertrauenserweckender Umstand…\". Der Leser hat mir folgenden Screenshot der Dateieigenschaften geschickt, der das Problem belegt:<\/p>\n

\"AnyDesk-Client<\/p>\n

Zum 24. April 2024 wurde das alte Zertifikat der philandro Software GmbH, welches zur\u00fcckgezogen wurde, zum Signieren des AnyDesk-Clients verwendet. Am sp\u00e4teren Nachmittag meldete sich der Leser erneut und merkte an, dass der Fehler bei AnyDesk wohl auch aufgefallen sei. Denn inzwischen w\u00fcrde f\u00fcr den Client eine exe-Datei heruntergeladen, die \"vor wenigen Minuten\" mit dem AnyDesk Software GmbH Cert signiert wurde.<\/p>\n

\"AnyDesk-Client<\/p>\n

Das ist das g\u00fcltige Zertifikat, welches dann auch auf VirusTotal von den Virenscannern<\/a> als unauff\u00e4llig eingestuft wird. Unter dem Strich hat der Anbieter das alte und zur\u00fcckgezogene Zertifikat zum Signieren verwendet, was die Alarme der Virenscanner ausl\u00f6ste. Wohlmeinende Zeitgenossen stufen das als \"AnyDesk wollte nur mal testen, ob die Virenscanner auch funktionieren\" ein. Nicht so wohlmeinende Zeitgenossen meinen \"der Laden hat seine internen Abl\u00e4ufe immer noch nicht im Griff, so was darf nicht passieren\".<\/p>\n

Erg\u00e4nzung:<\/strong> Der Leser hat mir noch zwei Fundstellen im Web genannt, wo sich der AnyDesk-Client 8.0.10.0 herunterladen lie\u00df. Ich habe die Version am 29.4.2024 per Download gezogen und die digitale Signatur gepr\u00fcft. Die waren mit \"philandro Software GmbH\" zum 24. April 2014, 14:53.30 Uhr signiert worden.<\/p><\/blockquote>\n

Der Hintergrund<\/h2>\n

Hintergrund f\u00fcr das Zertifikate-Chaos ist der Umstand, dass der Anbieter AnyDesk im Dezember 2023 Opfer eines Cyberangriffs auf seine Produktivsysteme wurde. Das Ganze kam aber erst Anfang Februar 2024 h\u00e4ppchenweise ans Tageslicht \u2013 m\u00f6glicherweise auch auf Grund der Berichterstattung hier im Blog (siehe Links am Artikelende). AnyDesk konnte nicht ausschlie\u00dfen, dass die Schl\u00fcssel f\u00fcr die Zertifikate, die zum digitalen Signieren von Dateien benutzt werden, abhanden gekommen sind.<\/p>\n

Daher wurden die alten Zertifikate widerrufen und der Anbieter war im Februar damit befasst, neue Clients mit aktualisierter digitaler Signatur bereitzustellen. Zum Problem wird das nun, weil AnyDesk im Februar 2024 und jetzt im April 2024 etwas beim \"Bauen der neuen Clients\" mit den Zertifikaten durcheinander geraten ist. Dadurch wurden die Bin\u00e4rdateien von AV-Programmen als sch\u00e4dlich eingestuft und in Quarant\u00e4ne gestellt.<\/p>\n

Artikelreihe:<\/strong>
\nAnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> \u2013 Teil 1
\nAnyDesk-Hack Undercover \u2013 weitere Informationen und Gedanken<\/a> \u2013 Teil 2
\nAnyDesk-Hack Undercover \u2013 Verdachtsf\u00e4lle und mehr<\/a>\u00a0 \u2013 Teil 3
\nAnyDesk-Hack Undercover \u2013 Zugangsdaten zum Verkauf angeboten<\/a> \u2013 Teil 4
\nAnyDesk-Hack \u2013 Eine Nachlese<\/a> Teil 5
\nAnyDesk-Hack \u2013 Nachlese der BSI-Meldung<\/a> \u2013 Teil 6
\nAnyDesk-Hack \u2013 Hinweise zum Zertifikatstausch bei Customs-Clients 7.x<\/a> \u2013 Teil 7
\nAnyDesk-Hack \u2013 Weitere Informationen (FAQ) vom 5. Februar 2024<\/a> -Teil 8
\nAnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt?<\/a> \u2013 Teil 9
\nAnyDesk-Hack zum Dezember 2023 best\u00e4tigt; Altes Zertifikat zur\u00fcckgerufen<\/a> \u2013 Teil 10
\nAnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten?<\/a>\u00a0 \u2013 Teil 11
\nAnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen?<\/a> \u2013 Teil 12<\/p>\n

Microsoft Defender blockt Anydesk-Clients (28. Februar 2024)<\/a>
\nAnyDesk: Zugriffsversuche aus Spanien; Unsignierter Client verteilt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kurze Information in die Runde samt Nachfrage, wer von dem Vorfall betroffen ist. Zum 25. April 2024 hat der Fernwartungsanbieters AnyDesk wohl eine \"faule\" Version seines AnyDesk-Clients ausgerollt, die vom Microsoft Defender unter Windows blockiert wird. Hintergrund ist, dass der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7459],"tags":[8402,24,3836],"class_list":["post-294803","post","type-post","status-publish","format-standard","hentry","category-software","tag-anydesk","tag-problem","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294803","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294803"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294803\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294803"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294803"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294803"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}