AnyDesk wurde gehakt und nun?

Wer ungefähr seit dem 25. Januar 2024 die Berichterstattung über AnyDesk mitverfolgt hat, der wird spätestens seit dem 02. Februar 2024 Wissen, das dieser Anbieter von Fernzugriffs-Lösungen erfolgreich angriffen wurde. Ich kann mir gut vorstellen, was da gerade bei AnyDesk selbst, aber auch bei allen Partnern und Kollegen da gerade los ist. So seltsam das nun klingen mag: Irgendwie leidet man mit.

Jetzt haben wir es in der IT oft genug mit irgendwelchen Fehlern, Problemen und mehr zu tun. Das schlimmste ist meiner Meinung nach aber immer ein Sicherheitsvorfall. Zunächst ist zu klären was eigentlich los ist, wie sind der oder die Angreifer rein gekommen, wie umfangreich ist der Schaden, was ist jetzt zu tun und sehr viele weitere Fragen und ja, auch Ängste, Sorgen und Nöte kommen in solchen Situationen auf. Darüber hinaus trifft es ja nicht nur, in diesem Fall, AnyDesk und dessen Partner sowie Anwender selbst, sondern indirekt auch das Umfeld. Gemeint sind indirekte Nutzer, also solche wo die Software im Bundle “einfach” mit kommt, aber auch das soziale Umfeld. Über das vergangene Wochenende dürfte so mancherorts schlechte Stimmung geherrscht haben.

Wir selbst nutzen kein AnyDesk, aber ja, wir haben Kunden da kommt der Client für den spontanen Support einfach mit. Daher galt über das Wochenende dessen Ausführung zu unterbinden und die Kunden zu informieren. Wenigstens waren die Clients (hier 8.0.5) gar nicht so alt (November 2023). Offenbar gibt es OEM-Ausgaben noch mit Version 7.x. Problematisch ist, das die Informationslage, sagen wir mal, dürftig ist.

Eine Incidence Response die man erstmal finden muss bzw. eine Pressemitteilung Freitags-Nachts. Tolles Timing. So manch einen hat das Ganze vermutlich erst am heutigen Montag erreicht.

Bei heise gibt es ein paar Meldungen:

IT-Sicherheitsvorfall: Anydesk bestätigt Einbruch in Produktionssysteme

Kundendaten von Anydesk zum Verkauf angeboten

Im deutschsprachigen Raum fand ich die Berichterstattung von Günter Born noch am besten bzw. ausführlichsten:

Störung bei AnyDesk, jemand betroffen?

AnyDesk und die Störungen: Es ist womöglich was im Busch

AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen

AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2

AnyDesk-Hack Undercover – Verdachtsfälle und mehr – Teil 3

AnyDesk-Hack Undercover – Zugangsdaten zum Verkauf angeboten – Teil 4

AnyDesk-Hack – Eine Nachlese – Teil 5

Was mich etwas irritiert ist die Sache mit der BSI-Meldung an KRITIS-Betreiber. Ich nahm an, das man bei entsprechenden Anforderungen nicht gerade typisch-öffentlich erreichbare Lösungen einsetzt. Also das nicht die “Otto-Normal”-AnyDesk-Server verwendet werden, sondern entsprechende Dienstleister eigene Server betreiben, die vom Rest getrennt sind. Vielleicht ist das sogar der Fall, wobei, bietet AnyDesk das eigentlich überhaupt an? Jedenfalls dachte ich, das wäre da mehr abgeschottet.

Es ist immer schlicht eine Katastrophe wenn ein Fernzugriffs- oder gar ein RMM-Anbieter kompromittiert werden, die Folgen sind so oder so weitreichend und passiert ist es schon einigen und weitere werden leider irgendwann folgen. Es gibt schlichtweg keine 100%-ige Sicherheit.

Was tun, wenn es “gekracht” hat? Kennwörter ändern, Zugriffe kontrollieren, Informationen checken – Soweit, so normal. Mal schnell die Lösung austauschen geht auch eher schlecht, oder?

Klar kann man kurzfristig zu einem anderem Anbieter wechseln, die Sache ist allerdings alles andere als trivial wenn man eine entsprechend große Anzahl an zu verwalteten Systemen hat (wir sprechen hier nicht gerade von ein-zwei Handvoll Rechnern). Geht es nur um den spontanen Support wäre das noch relativ simple, sprich: Den Client auf der Homepage verlinken und den Supportern das entsprechende Tool zur Verfügung stellen. Das geht aber auch nur bei einer überschaubaren Anzahl von Support-Fällen.

Mal sehen, was in Sachen AnyDesk und Hack noch alles kommt. Mehr brauchbare Informationen wäre hilfreich und hoffentlich hält sich der Schaden in Grenzen.

Wie geht’s euch so mit diesem Thema? Jemand AnyDesk im Einsatz? Oder schon mal einen Hack der verwendeten Fernzugriffs- oder RMM-Lösung erlebt? Lasst mir gerne ein Kommentar da.

Update 05.02.2024 – 19:44

Es gibt weitere Infos, wobei die irgendwie nichts weiteres oder neues Verraten:

heise – BSI veröffentlicht Erkenntnisse zu Anydesk-Einbruch

Borns IT- und Windows-Blog – AnyDesk-Hack – Nachlese der BSI-Meldung – Teil 6

BSI – Cybersicherheitsvorfall bei einem Remote-Screen-Sharing-Anbieter  (PDF)

Update 06.02.2024 – 09:25

Das nächsten Info-Update:

Borns IT- und Windows-Blog – AnyDesk-Hack – Hinweise zum Zertifikatstausch bei Customs-Clients 7.x – Teil 7

Update 06.02.2024 – 19:20

Und weiter geht’s:

Borns IT- und Windows-Blog – AnyDesk-Hack – Weitere Informationen vom 5. Februar 2024 – Teil 8

Es geht also nur um zwei Relay-Server, einer in Portugal und einer in Spanien?! Also alles nicht so schlimm? Ich weiß nicht, das passt nicht so recht mit den Meldungen zusammen, das man auf manchen Systemen plötzlich seltsame Aktivitäten bemerkt hat oder gar Malware aufgetaucht ist. Weiß man noch nicht alles über den Umfang oder verrät man es bloß noch nicht?

Jan (siehe Kommentare) hat ebenfalls berichtet, das da plötzlich Malware ist, deren Weg ins System bislang unklar ist.

Von keinem der uns bekannten Software-Anbieter, von denen Anwendungen bei unseren Kunden im Einsatz sind, kam bislang irgendeine Info zum AnyDesk-Hack. Da wurden noch nicht mal die Downloads auf der Homepage, geschweige denn im jeweiligen Software-Bundle aktualisiert. Das mag daran liegen, das es noch Schwierigkeiten gibt die OEM-Clients zu aktualisieren. Trotzdem wäre eine Info nett gewesen.

Einzig von terraXaler kam um 17:29 Uhr eine Mail, das man aufgrund des Vorfalls von AnyDesk zu TeamViewer wechseln wird.

Update 07.02.2024 – 12:27

Was soll man noch sagen? Lest selbst:

heise – Anydesk-Einbruch: Französisches BSI-Pendant vermutet Dezember als Einbruchsdatum

Borns IT- und Windows-Blog – AnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt? – Teil 9

Update 08.02.2024 – 17:08

Und weiter geht’s:

Borns IT- und Windows-Blog – AnyDesk-Hack zum Dezember 2023 bestätigt; Altes Zertifikat zurückgerufen – Teil 10

Demnach war wohl schon was im Dezember 2023 bekannt, ob da der Angriff begann ist weiterhin nicht (öffentlich) bekannt. Ferner schon “interessant” das jemand Drittes das alte Zertifikat widerrufen lassen muss, da seitens AnyDesk diesbezüglich nichts sichtbares passiert.

Update 09.02.2024 – 12:25

heise – Anydesk-Einbruch: Hersteller bestätigt Dezember als Einbruchszeitpunkt

Update 12.02.2024 – 14:46

Und weiter geht der Reigen:

Borns IT- und Windows-Blog – AnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten? – Teil 11

Ferner hat pcvisit das Thema ebenfalls aufgegriffen (Vielen Dank für’s Verlinken):

pcvisit – Blog – AnyDesk Cyberangriff: Kann das bei pcvisit auch passieren?

Hier geht man auf verschiedene IT-Sicherheitsstandards sowie die eigenen Maßnahmen ein und gibt zudem die (imho völlig richtige) Info das niemand vor einem Vorfall zu 100% geschützt sein kann.

Update 15.02.2024 – 09:55

Wie Günter Born berichtet, soll es nun (endlich) neue Custom Clients geben bzw. deren Ausstellung möglich sein:

Borns IT- und Windows-Blog – AnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen? – Teil 12

Liest man allerdings die Kommentare dann klappt das wohl noch nicht so richtig.

Bislang haben unsere Kunden, die von verschiedenen Software-Lieferanten mittels AnyDesk (bei Bedarf) betreut werden, noch überhaupt keine Info zum AnyDesk-Hack (außer durch uns) erhalten. Man hüllt sich in Stillschweigen. Vielleicht möchte man das Ganze auch einfach aussitzen. Wer weiß. AnyDesk ist also nicht der Einzige, der “wenig” kommuniziert.

Update 21.02.2024 – 21:45

Ein Software-Anbieter, von dem bei mehreren Kunden eine Branchen-Lösung im Einsatz ist, hat mit dem heutigen Update schlicht von AnyDesk zu TeamViewer gewechselt. Weder auf der Homepage noch in der Update-Beschreibung oder auf anderen Wegen wurde dies kommuniziert. AnyDesk ist also nicht die einzige “Bude” die recht schweigsam ist.

Jedenfalls verzichtet man nun darauf, einen Client lokal auf dem System abzulegen, stattdessen ist einfach die TeamViewer-Download-Seite verlinkt. Man hat sich noch nicht einmal die Mühe gemacht einen angepassten QuickSupport zu verlinken.

Update 23.02.2024 – 12:39

Der im letzten Update genannte Software-Anbieter hat heute eine Mail rum geschickt, das man von AnyDesk zu TeamViewer gewechselt ist.

Update 28.02.2024 – 22:40

Wie man bei Günter Born lesen kann blockiert der Microsoft Defender AnyDesk-Clients:

Borns IT- und Windows-Blog – Microsoft Defender blockt Anydesk-Clients (28. Februar 2024)

Dies betrifft der Lesart nach nicht nur die eventuell kompromittierten älteren Versionen, sondern auch die aktuelle Ausgabe. False-positive oder neues Problem? Wer weiß.

Update 05.03.2024 – 20:49

Man könnte sagen “es hört nicht auf” oder “AnyDesk schafft es nicht aus den Schlagzeilen”. So oder so, es gibt wieder was neues:

Borns IT- und Windows-Blog – AnyDesk: Zugriffsversuche aus Spanien; Unsignierter Client verteilt

Wer (als Plan B) auf RustDesk mit eigenem Server setzen möchte findet hier (m)einen ersten Beitrag dazu:

Fernwartung mit RustDesk (zum selber hosten)

2 Kommentare

  1. Jan

    Bei einem meiner Kunden sind am Donnerstag erstmals Malware Probleme bei einer kleinen zweistelligen Anzahl von Clients aufgetreten, dessen Ursprung aktuell noch ungeklärt ist.
    Im Zuge der Analyse bin ich dann auf den AnyDesk hack aufmerksam geworden und habe am Freitag bei 250 Clients die Deinstallation angeordnet, welche noch über das Wochenende vollzogen wurde.

    Ob ein Zusammenhang besteht, ist natürlich völlig unklar. Es gibt ja auch keine verlässlichen Informationen über das Ausmaß bei AnyDesk.

    Ich habe zwar schon Mitte 2023 begonnen auf RustDesk mit einem eigenen Relay Server umzustellen, aber die Altlösung war noch nicht vollständig abgeschafft.

    Grundsätzlich wird es aber ein umdenken im Umgang mit Fernwartungssoftware geben: Weder AnyDesk noch eine andere Fernwartungssoftware die fremde Relay Server nutzt, darf installiert werden. Sollte der Support eines Herstellers kurzfristig z.B. TeamViewer für eine Fernwartung nutzen wollen, wird TeamViewer ohne Installation ausgeführt.

    Ich denke das eine Fernwartungssoftware die immer im Hintergrund läuft, schon ein grundsätzliches Risiko mit sich bringt. Klar, auch RustDesk ist nicht sicherer als andere Lösungen. Die Wahrscheinlichkeit das ein kleiner Relay Server von einem kleinen IT-Dienstleister gehackt wird, halte ich für geringer als die Wahrscheinlichkeit bei Globalen Anbietern. Noch ein Vorteil für RustDesk: nur RustDesk Clients die mit meinem Relay Server verbunden sind, können untereinander connecten. Dadurch wird Telefon Scam bei entsprechender Schulung der User auch schwieriger.

  2. Andy

    Hallo Jan,

    ja, der Wechsel einer Lösung dauert. Haben wir sehr deutlich gesehen als wir von TeamViewer zu pcvisit gegangen sind.

    > Die Wahrscheinlichkeit das ein kleiner Relay Server von einem kleinen IT-Dienstleister gehackt wird, halte ich für geringer als die Wahrscheinlichkeit bei Globalen Anbietern.

    Sehe ich genau so und die Erfahrungen in der Vergangenheit haben ja gezeigt, das die Auswirkungen bei großen Anbietern ungleich größer sind.
    Beispiele wären da TeamViewer (die seinerzeit erst nach eine Jahr zugegeben haben, das da was war) oder Solarwinds (heute n-able).

    Passiert bei den großen Anbietern bzw. deren Servern irgendwas (Sicherheitsvorfall, Störung, …) schlägt das gleich viel größere Wellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑