lochkartenstanzer
Goto Top

Anydesk kompromittiert

Moin,

Seit einigen Tagen gingen Gerüchte um, inzwischen ist es "offiziell":

Anydesk ist seit Januar kompromittiert und alle Systeme, auf die man via Anydesk-Vermittlung kommt, sind gefährdet, wenn nicht schon kompromittiert.

@kgborn berichtet schon seit ein paar Tagen darüber, u.a. auch gestern:

https://www.borncity.com/blog/2024/02/03/anydesk-wurde-im-januar-2024-ge ...

lks

PS: Es hat schon seinen Grund, warum hier im Forum immer vor Teamviewer, Anydesk und Co. gewarnt wird.


Update jetzt auch bei Heise: https://www.heise.de/news/IT-Sicherheitsvorfall-Anydesk-bestaetigt-Einbr ...

Update 5.2.2024
Heise berichtet über geleakte Kundendaten, die angeboten werden:

https://www.heise.de/news/Kundendaten-von-Anydesk-zum-Verkauf-angeboten- ...

Hier noch weitere Links von Günter (@kgborn)
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen – Teil 1
AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2
AnyDesk-Hack Undercover – Verdachtsfälle und mehr – Teil 3
AnyDesk-Hack Undercover – Zugangsdaten zum Verkauf angeboten – Teil 4

Golem:

Fernwartungssoftware-Anbieter Anydesk gehackt

Update 16.02.2024

Heute kam die Mail von Anydesk. face-smile

Siehe meinen Ergäzungkommentar

Content-Key: 93701849448

Url: https://administrator.de/contentid/93701849448

Printed on: February 21, 2024 at 05:02 o'clock

Member: radiogugu
radiogugu Feb 03, 2024 at 11:10:25 (UTC)
Goto Top
Mahlzeit.

Zitat von @Lochkartenstanzer:
PS: Es hat schon seinen Grund, warum hier im Forum immer vor Teamviewer, Anydesk und Co. gewarnt wird.

Leider werden Teamviewer und Co. von den meisten IT-Dienstleistern verwenedt, um schnell zu unterstützen. Teamviewer könnte nun durchaus Einiges an Zulauf bekommen.
Vor allem, wenn Ayndesk nicht entsprechend professionell mit dem Vorfall umgeht.

Ein eigens gehosteter Rustdesk Server hätte da meiner Ansicht nach sehr viel mehr Aufmerksamkeit verdient.

Gruß
Marc
Member: Dani
Dani Feb 03, 2024 updated at 11:25:05 (UTC)
Goto Top
Moin,
PS: Es hat schon seinen Grund, warum hier im Forum immer vor Teamviewer, Anydesk und Co. gewarnt wird.
Vor welcher Fernwartungssoftware wird denn nicht gewarnt? Sobald das Nischenprodukt zu einem Global Player wird, ergibt sich automatisch das Problem.

Ein eigens gehosteter Rustdesk Server hätte da meiner Ansicht nach sehr viel mehr Aufmerksamkeit verdient.
Das Problem bei Rustdesk ist, dass es nach wie vor nicht über Port 80 bzw. 443 kommunizieren kann. Im LAN kann das noch geregelt werden, aber darüber hinaus sehe ich schwarz. Unabhängig davon ist zu sagen, dass es die Möglichkeit auch bei Anydesk gibt.

Teamviewer könnte nun durchaus Einiges an Zulauf bekommen.
Ich hoffe doch nicht...oder haben wir schon vergessen, was TV mehrfach mit Kunden angestellt (Abo Zwang, Private Nutzung, etc.).


Gruß,
Dani
Member: radiogugu
radiogugu Feb 03, 2024 at 11:31:51 (UTC)
Goto Top
Zitat von @Dani:
Ein eigens gehosteter Rustdesk Server hätte da meiner Ansicht nach sehr viel mehr Aufmerksamkeit verdient.
Das Problem bei Rustdesk ist, dass es nach wie vor nicht über Port 80 bzw. 443 kommunizieren kann. Im LAN kann das noch geregelt werden, aber darüber hinaus sehe ich schwarz. Unabhängig davon ist zu sagen, dass es die Möglichkeit auch bei Anydesk gibt.

Keine Einwände.

Teamviewer könnte nun durchaus Einiges an Zulauf bekommen.
Ich hoffe doch nicht...oder haben wir schon vergessen, was TV mehrfach mit Kunden angestellt (Abo Zwang, Private Nutzung, etc.).

Da hoffe ich mit, aber man weiß ja wie manche Entscheider gepolt sind und dann den entsprechenden Weg vorgeben face-sad

Gruß
Marc
Member: aqui
aqui Feb 03, 2024 at 11:46:00 (UTC)
Goto Top
Teamviewer könnte nun durchaus Einiges an Zulauf bekommen.
Womit man sich einen ziemlichen Bärendienst erweist da die systembedingt ja schon kompromittiert sind und in gesicherten Firmennetzen bekanntlich ein NoGo sind.
TeamViewer mal wieder gehackt !
Member: Crusher79
Crusher79 Feb 03, 2024 at 11:46:06 (UTC)
Goto Top
Zitat von @Dani:

Teamviewer könnte nun durchaus Einiges an Zulauf bekommen.
Ich hoffe doch nicht...oder haben wir schon vergessen, was TV mehrfach mit Kunden angestellt (Abo Zwang, Private Nutzung, etc.).

Die Preise sind echt happig und die Qualität geht so. Mit der neuen GUI und den Funktionen ist man ohne kill und restart der App aufgeschmissen.

Rustdesk wollt ich mir auch mal näher anschauen. Bei uns ist es eh über die Jahre gewachsen. 90% der Clients sind via VLAN erreichbar. Vorgänger wollte unbedingt TV. War damals so schön einfach. Wäre jedenfalls eine Alternative.
Member: Lochkartenstanzer
Lochkartenstanzer Feb 03, 2024 at 13:28:58 (UTC)
Goto Top
Zitat von @radiogugu:

Teamviewer könnte nun durchaus Einiges an Zulauf bekommen.

Aber von Leuten, die überhaupt keine Ahnung von der Materie haben. Teamviewer wurde schon mehrfach kompromittiert und ist außerdem unter der Kontrolle eines Konzerns, der mit den "Five-Eyes" zusammenarbeiten muß.

Das war schon damals "i-Bäh" als die deutschen Eigentümer das verhökert haben. Die Anydesk-Entwickler stammen ja teilweise aus dem alten Teamviewer-Team.

Anydesk hatte halte den Vorteil, daß es günstiger als Teamviewer war und für "sofort-support" mit Neukunden tauglich war, wenn der Kunde nicht direkt zu erreichen war und man noch keinen VPN-Zugang hat. Ich werde dann doch zu meiner alten Lösung mit VNC, das über meine eigenen Server vermittelt wird zurückkehren.

lks
Member: Visucius
Visucius Feb 03, 2024 updated at 14:21:48 (UTC)
Goto Top
Naja, mal den Ball flach halten.

Problematisch ist das doch vor allem bei frei zugänglichen Systemen, die ohne Client-Interaktion auskommen (im Client hinterlegtes PW/Zertifikat).

Das habe ich allerdings immer schon kritisch gesehen.

Für den Rest - und das ist ja wohl die große Mehrheit- genügt ein aktuelles Update um die Integrität des Clients sicherzustellen
Member: Snagless
Snagless Feb 03, 2024 at 14:11:54 (UTC)
Goto Top
Hallo,

aus aktuellem Anlass hab ich mal bei Atera in das Backend geschaut. Da kann man AnyDesk auch komplett abschalten, bzw. wenn man es nutzt zwischen Attended und Unattended Mode umschalten.
Member: MirkoKR
MirkoKR Feb 03, 2024 at 14:12:40 (UTC)
Goto Top
Ich bin der Meinung, das gegen Fernwartungssoftware nicht wirklich nur negatives spricht ....

ABER: Die SW,/der Dienst sollte nur dann laufen, wenn er benötigt wird und nicht dauerhaft ... dann gibt es m.E. keine Gefahr ...
Member: em-pie
em-pie Feb 03, 2024 at 14:17:04 (UTC)
Goto Top
ABER: Die SW,/der Dienst sollte nur dann laufen, wenn er benötigt wird und nicht dauerhaft ... dann gibt es m.E. keine Gefahr ...

Das sehe ich hier ähnlich.
Teamviewer QS, der nur zum Zeitpunkt der Nutzung läuft, ist ja insofern unkritisch, als dass man ja sofort mitbekäme, wenn da noch ein Dritter die Maus schubst.
Gut, wenn der Traffic/ übertragene Inhalt mitgeschnitten wird, hilft das auch nicht…
Member: Lochkartenstanzer
Lochkartenstanzer Feb 03, 2024 at 14:18:00 (UTC)
Goto Top
Zitat von @MirkoKR:

Ich bin der Meinung, das gegen Fernwartungssoftware nicht wirklich nur negatives spricht ....

ABER: Die SW,/der Dienst sollte nur dann laufen, wenn er benötigt wird und nicht dauerhaft ... dann gibt es m.E. keine Gefahr ...

Meine Kunden starten es händisch bei Bedarf. Dann gaben sie auch unter Kontrolle, wer wann wie auf ihren Systemen "rumfummelt".

lks
Member: radiogugu
radiogugu Feb 03, 2024 at 14:22:03 (UTC)
Goto Top
ABER: Die SW,/der Dienst sollte nur dann laufen, wenn er benötigt wird und nicht dauerhaft ... dann gibt es m.E. keine Gefahr ...

Korrekt. So handhaben wir das auch. In der Firewall wird die Application Control deaktiviert für Remote Access Werkzeuge á la Anydesk oder Teamviewer und nach Beendigung der Nutzung wieder aktiviert.

Das klappt auch unternehmensweit sehr gut. Kurze Info an die IT und wir entsperren und sperren entsprechend.

Gruß
Marc
Member: kgborn
kgborn Feb 03, 2024 at 18:41:47 (UTC)
Goto Top
Danke an Lochkartenstanzer für den Post.

Inzwischen gibt es Teil 2:

AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2

Werde auch noch einen Teil 3 schreiben - sieht so aus, als ob schon jemand mit Malware probiert und es gibt fehlinterpretierte Verdächtigungen bei Client-Verbindungen.

Bei Golem gibt es auch noch einen Abriss von mir:

Fernwartungssoftware-Anbieter Anydesk gehackt
Member: Vision2015
Vision2015 Feb 03, 2024 at 18:56:40 (UTC)
Goto Top
Moin...

da werden sich ja alle CGM / Medistar Kunden freuen.... da ist Anydesk fest verdrahtet!

Frank
Member: Xaero1982
Xaero1982 Feb 03, 2024 at 21:43:36 (UTC)
Goto Top
Ich benutze PCVisit und ab und an Teamviewer. Allerdings auch nur den QS bei den Kunden und mit einem eigenem Kundenmodul, worüber ich beim Start auch direkt informiert werde.

Letztlich ist es ja oft auch ein Stück Bequemlichkeit, weil man nicht zu jedem Netz erst einen VPN Tunnel aufbauen will, sofern überhaupt vorhanden, um sich dann mit dem Server zu verbinden.

Bei Clients müsste man dann auch andere Wege gehen.
Member: Dani
Dani Feb 03, 2024 at 23:12:17 (UTC)
Goto Top
Moin,
da werden sich ja alle CGM / Medistar Kunden freuen.... da ist Anydesk fest verdrahtet!
CGM hat meines Wissens nach eine Enterprise Lizenz und nutzt entsprechend die eigenen AnyDesk Server Instanzen. Dementsprechend haben die AnyDesk Clients a) nur dessen FQDN/IP Adresse/n b) es wird hier nicht die Code Signatur von Anydesk verwendet. Was hat es nun für die Kunden für einen direkten Impact?


Gruß,
Dani
Member: kgborn
kgborn Feb 04, 2024 at 05:48:17 (UTC)
Goto Top
@Dani: Zu deiner Frage nach dem Implikationen kann ich ad-hoc nichts sagen. Ich habe den Post aber mal in Artikel 2 eingepflegt (Ziel: Single Source, um so was zu sammeln) - vielleicht meldet sich ein Nutzer oder CGM und trägt im Blog eine Information nach - ich denke, ab Montag werden einige Leute sich mit diesem Thema befassen.
Member: Vision2015
Vision2015 Feb 04, 2024 at 06:41:20 (UTC)
Goto Top
Moin Dani,
Zitat von @Dani:

Moin,
da werden sich ja alle CGM / Medistar Kunden freuen.... da ist Anydesk fest verdrahtet!
CGM hat meines Wissens nach eine Enterprise Lizenz und nutzt entsprechend die eigenen AnyDesk Server Instanzen. Dementsprechend haben die AnyDesk Clients a) nur dessen FQDN/IP Adresse/n b) es wird hier nicht die Code Signatur von Anydesk verwendet. Was hat es nun für die Kunden für einen direkten Impact?
na weil viele Kunden den AnyDesk-Client-Version 7 Installiert haben!
im Regelfall ist das ja so, CGM Hannover nutzt AnyDesk, die CGM Supporter, also Externe Unternehmen nutzen aber noch teilweise Teamviewer, weil AnyDesk teurer ist... die Praxis braucht aber Hilfe aus Hannover, also installiere mal eben den den AnyDesk Client.... du wirst jetzt sicher fragen, warum AnyDesk nicht aus aus der Anwendung gestartet wird... na weil die Anwendung nicht läuft, und der Supporter ja irgendwie auf den PC / Server Remote muss!
und als externer CGM Supporter bekommst du AnyDesk nicht kostenfrei, und viele Supporter nutzen eigene AnyDesk (Cloud-Lösungen) instanzen....

natürlich gab es von CGM keine Infos.... ein Hey, wir nutzen eigene AnyDesk Server, also alles kein Problem hätte ich eigentlich schon erwarten können.



Gruß,
Dani

Frank
Member: Dani
Dani Feb 04, 2024 at 11:14:35 (UTC)
Goto Top
Moin,
Zu deiner Frage nach dem Implikationen kann ich ad-hoc nichts sagen.
Kein Problem. Ich habe heute Nacht noch unser SOC alarmiert und die schauen sich das nun sehr genau an. Dann bekomm ich auf jeden Fall Antworten auf meine Fragen. face-smile Nein, ich arbeite nicht bei/für CGM.

im Regelfall ist das ja so, CGM Hannover nutzt AnyDesk, die CGM Supporter,
in der von mir zitierten Aussage geht es im die Integration in deren Produkte. Darauf habe ich meine Aussage bezogen, nicht mehr nicht weniger. Bezüglich den externen Supporter (du meints sicherlich Partner und IT-Dienstleister) kann ich nicht sagen, denn wir erhalten ausschließlich Support direkt von CGM.

und als externer CGM Supporter bekommst du AnyDesk nicht kostenfrei, und viele Supporter nutzen eigene AnyDesk (Cloud-Lösungen) instanzen....
Kannst du dich mit einer AnyDesk Client Version mit der integrierten Version in deren Produkte verbinden? Wenn dem so ist, ist das leider ein Standard und kein Enterprise Client. Dann bin ich voll und ganz bei dir.

oder CGM und trägt im Blog eine Information nach
Weihnachten war doch schon.. ;)


Gruß,
Dani
Member: Vision2015
Vision2015 Feb 04, 2024 at 11:26:46 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Zu deiner Frage nach dem Implikationen kann ich ad-hoc nichts sagen.
Kein Problem. Ich habe heute Nacht noch unser SOC alarmiert und die schauen sich das nun sehr genau an. Dann bekomm ich auf jeden Fall Antworten auf meine Fragen. face-smile Nein, ich arbeite nicht bei/für CGM.

im Regelfall ist das ja so, CGM Hannover nutzt AnyDesk, die CGM Supporter,
in der von mir zitierten Aussage geht es im die Integration in deren Produkte. Darauf habe ich meine Aussage bezogen, nicht mehr nicht weniger. Bezüglich den externen Supporter (du meints sicherlich Partner und IT-Dienstleister) kann ich nicht sagen, denn wir erhalten ausschließlich Support direkt von CGM.

und als externer CGM Supporter bekommst du AnyDesk nicht kostenfrei, und viele Supporter nutzen eigene AnyDesk (Cloud-Lösungen) instanzen....
Kannst du dich mit einer AnyDesk Client Version mit der integrierten Version in deren Produkte verbinden? Wenn dem so ist, ist das leider ein Standard und kein Enterprise Client. Dann bin ich voll und ganz bei dir.
ja, das kann ich!

oder CGM und trägt im Blog eine Information nach
Weihnachten war doch schon.. ;)
face-smile


Gruß,
Dani
Member: Dani
Dani Feb 04, 2024 at 12:10:33 (UTC)
Goto Top
Moin,
ja, das kann ich
Möchtest du mir die Produkte einmal nennen, wo vermeidlich ein Standard Client integriert ist?


Gruß
Dani
Member: Vision2015
Vision2015 Feb 04, 2024 at 13:03:58 (UTC)
Goto Top
Moin...
Zitat von @Dani:

Moin,
ja, das kann ich
Möchtest du mir die Produkte einmal nennen, wo vermeidlich ein Standard Client integriert ist?
ah.. Sorry zu schnell überflogen,
Kannst du dich mit einer AnyDesk Client Version mit der integrierten Version in deren Produkte verbinden?
das nicht, aber mit den Installierten AnyDesk Clients natürlich...
bin die aber am runterwerfen!
was die integrierten Version angeht, habe ich da aber auch unterschiede in der version gefunden.
wenn ich dort etwas auffälliges sehe, schreibe ich dir eine PN.


Gruß
Dani
Frank
Member: Dani
Dani Feb 04, 2024 at 19:15:49 (UTC)
Goto Top
Moin,
Kein Problem. Ich habe heute Nacht noch unser SOC alarmiert und die schauen sich das nun sehr genau an. Dann bekomm ich auf jeden Fall Antworten auf meine Fragen. face-smile Nein, ich arbeite nicht bei/für CGM.
Kurzes Update: Unsere externen AnyDesk Enterprise Instanzen wurden heute Morgen forensische Untersuchungen gesichert und anschließend herunterfahren. Die interne AnyDesk Enterprise Instanzen laufen weiterhin, weil diese ausschließlich im LAN und VPN erreichbar ist.

Die Sache ist nämlich wie folgt:
  • Für den Betrieb einer Anydesk Enterprise Instanz wird bei der Installation unter Linux entsprechend Zertifikat erstellt. Dieses Zertifikat muss zur Lizenzierung im Kundeportal hochgeladen werden.
  • Die Custom Clients für Anydesk Enterprise werden über das Kundenportal konfiguriert und anschließend on-the-fly erstellt und zum Download angeboten.
  • Durch das hochgeladene Zertifikat wird meinem Verständnis nach für die Authentifizierung zwischen den Custom Anydesk Client und dem Custom Anydesk Enterprise Server genutzt. Wer also von uns einen AnyDesk Client vom Typ "Ausgehend" (=Supporter) in die Hand bekommt, kann sich problemlos mit unseren AnyDesk Server kommunizieren. Durch mehrfachen Start des Clients und Wireshark bekomme ich dann die IP-Adressen/FQDN des AnyDesk Servers heraus und kann vermutlich daraus ableiten, welche Unternehmen sich dahinter verbirgt. Wenn diese Info bereits nicht durch evtl. Kundensatz von Anydesk oder, oder, oder abzuleiten war.
  • Somit kann ich gezielt auf Personen zugehen und entsprechende mit Phishing, etc. mein Glück versuchen. Alternativ evtl. mögliche Schwachstellen im AnyDesk Server abklopfen und versuchen an das Adressbuch bzw. die DB zu kommen. Somit wären dann alle IDs aller Endgeräte bekannt.

Ohne Gewähr, dass ich alles vollumfänglich verstanden habe, was mir die SOC Kollegen erzählt haben. Ich bin operativ nicht in der Thematik drin.

Wir für unseren Teil bauen Custom Clients über das Kundenportal und sobald diese durch QM als funktionsfähig eingestuft worden sind, wird die Konfiguration wieder gelöscht. Unabhängig davon nutzen wir die Option nicht, um feste Passwörter im AnyDesk zu definieren. Je nachdem was an Daten bei AnyDesk abgeflossen sind, ein weitere Angriffsfläche darstellt.

Nichts desto trotz gehen wir auf Nummer sicher. Weil für uns schon alle das vermeidlich abhanden kommen unserer Zertifikate nicht abschließend bewertetet werden kann. Auch über unsere Kanäle ist von Anydesk heute niemand erreichbar gewesen und unsere Kollegen, welche auf das AnyDesk Kundenportal Zugriff haben, konnte ebenfalls keiner erreicht werden.


Gruß,
Dani
Member: -WeBu-
-WeBu- Feb 05, 2024 updated at 11:07:30 (UTC)
Goto Top
Wenn ich mal jemand helfe oder mal Hilfe bekomme, dann nutzen wir (beide Seiten) direkt die runterladbaren Hersteller-Dateien von AnyDesk zum Start, alles ohne Install.

Ist das besser, schlechter oder egal?
Member: Lochkartenstanzer
Lochkartenstanzer Feb 05, 2024 at 11:21:35 (UTC)
Goto Top
Zitat von @-webu-:

Ist das besser, schlechter oder egal?

Sofern die beide hinter einem NAT-Gateway stecken udn nciht direkt komminzieren (z.b. im LAN) macht das (fast) keinen Unterschied. Sofern das installierte Anydesk nciht automatisch mit Windows startet sogargarkein Unterschied.

Das Problem ist, daß man über die Anydesk-Server zusammenfindet und da ist monetan das vertrauen futsch.

lks
Member: -WeBu-
-WeBu- Feb 05, 2024 updated at 11:59:26 (UTC)
Goto Top
Kollegen wie AnyDesk und TeamViewer werden ja, wie hier oft schon erwähnt, situationsbedingt zeitlich eingeschränkt genutzt. Daher denke ich, ist eh alles nur halb so doppelt.

In den Umfeldern, in denen ich unterwegs bin, sind die, wie gesagt, überhaupt nicht installiert. Sie werden gestartet wenn sie gebraucht werden, und werden beendet wenn sie nicht mehr gebraucht werden.

Zusätzlich haben wir einen eigenen Mesh Server. Über den kommen wir mit unserer Hilfe auch zu den anderen, die in diesen mesh-gruppen drin sind, damit sie von uns Support bekommen können.
Member: Snagless
Snagless Feb 05, 2024 at 22:15:22 (UTC)
Goto Top
Hallo,

bei Atera haben sie heute im Backend auch den Anydesk-Stecker gezogen. Es wird eine Deinstallation als Vorsichtsmaßnahme empfohlen und es würde auch seitens Atera blockiert werden. ein Deinstaller Script wird in der Library angeboten.
Member: ASP.NET.Core
ASP.NET.Core Feb 09, 2024 at 18:05:02 (UTC)
Goto Top
Hi,
inzwischen gibt es aus Frankreich Anhaltspunkte dafür, dass sich Anydesk bereits im Dezember hat Hacken lassen: https://www.golem.de/news/security-wann-wurde-anydesk-gehackt-2402-18198 ...
Member: -WeBu-
-WeBu- Feb 09, 2024 at 18:12:48 (UTC)
Goto Top
Ich gestehe, dass ich mir nicht durchlas, bei was AnyDesk ein Problem hat bzw. zu einem Problem wird, daher in short die Frage:

Ist/gibt es ein Problem, wenn beide Seiten AnyDesk erst dann starten, wenn sie es benutzen und wieder beenden, wenn die help-Session rum ist?
Member: ASP.NET.Core
ASP.NET.Core Feb 09, 2024 updated at 18:52:30 (UTC)
Goto Top
Zitat von @-webu-:
Ist/gibt es ein Problem, wenn beide Seiten AnyDesk erst dann starten, wenn sie es benutzen und wieder beenden, wenn die help-Session rum ist?

Ist es ein Problem, wenn die ihre IT Sicherheit offensichtlich derart schlecht im Griff haben, dass sie sich nicht nur Hacken ließen, sondern das auch noch erst Wochen später merken & dann nicht mal im Detail erklären, was wann passiert ist? Musst du selbst entscheiden, wie problematisch es für dich ist, wenn du dadurch angegriffen werden kannst.

Für mich wäre so ein Laden durch. Vollste Transparenz der Verantwortlichen wäre das absolute Minimum, um überhaupt erst mal den Schaden einschätzen zu können. Stattdessen billige PR-Textbausteine: "Sicherheit ist uns voll wichtig", oder "wir nehmen das sehr Ernst". Ja, klar, sieht man. So wichtig & ernst, wie McDonalds meine Gesundheit nimmt, wenn sie mir doppelte Burger-Menüs mit großer Cola andrehen wollen! face-big-smile

Der Erfolg wird ihnen aus kommerzieller Sicht recht geben, wenn genug Leute sich damit abspeisen lassen & weiterhin deren Produkte nutzen oder gar noch Geld dafür ausgeben.
Member: -WeBu-
-WeBu- Feb 09, 2024 at 21:40:27 (UTC)
Goto Top
Musst du selbst entscheiden, wie problematisch es für dich ist, wenn du dadurch angegriffen werden kannst.

Also, wenn man nicht unattended unterwegs ist, sollte es nochmal ein Unterschied sein. Außerdem ist die Dauer sicher auch nochmal ein Faktor.

AnyDesk war bisher gegenüber dem Platzhirsch TeamViewer ein Alternative und wurde größer. Und auch klar ist, dass sie genau dadurch auch ins Visier gerieten. Ich find's nicht gut, dass es passierte, aber ich verstehe, dass es sie erwischt hat.
Member: Vision2015
Vision2015 Feb 10, 2024 at 05:13:11 (UTC)
Goto Top
Moin...
Also, wenn man nicht unattended unterwegs ist, sollte es nochmal ein Unterschied sein. Außerdem ist die Dauer sicher auch nochmal ein Faktor.
aha.. und welche Client version wird genutzt, und die ist auch Sauber?
Bist du dir da sicher?

Frank
Member: Visucius
Visucius Feb 10, 2024 at 07:00:58 (UTC)
Goto Top
8.08 halt.

Das doofe ist nur, dass Du auf dem „RemoteServer“ nicht einfach nen Update initiieren kannst.
Member: -WeBu-
-WeBu- Feb 10, 2024 at 09:46:03 (UTC)
Goto Top
Ich zitiere zweimal aus den Kommentaren von Born:

Passwörter für den unbeaufsichtigten Zugriff bei den Kunden ist nicht eingerichtet, die Kunden müssen immernoch jede Verbindungsanfrage manuell annehmen.

Diese ganzen Schlüssel, Passwörter und Zertifikate – könnten Sie vielleicht für jene, die nicht in dieser Materie Profis sind, einfach erläutern wo der Hauptnerv dieses Hacks sitzt und welche Art von Kompromitierung hier in oben genannten Szenario geschehen kann?

Kein Antwort, wie auch?

Glücklicherweise nutze ich Anydesk nur für den Support auf Clients, die Software ist nirgends installiert und wird nur bei Bedarf von Kunden gestartet…

Dort, wo ich helfe oder geholfen bekomme, ist Anydesk ebenfalls nicht installiert, auf beiden Seiten nicht, daher keine Passwörter vergeben, es wird sich auf keinen Namensraum verlassen, ohne Bestätigung keine Verbindungsannahme, automatisch daher schon gar nicht, niemand auf dem Anydesk-Portal angemeldet und die Software läuft auf beiden Seiten bei Bedarf ausschließlich beaufsichtigt, keine Admin-Rechte auf der Client-Seite.

Erläutert gerne, was in genau diesem beschriebenen Fall passieren kann, wenn beide die gemeinsam geteilte Maus auf dem gemeinsam geteilten Schirm hin und her schieben!

"Wer weiß das schon..." wäre nur bedingt eine Antwort.
Member: ASP.NET.Core
ASP.NET.Core Feb 10, 2024 at 11:03:26 (UTC)
Goto Top
Zitat von @-webu-:
Also, wenn man nicht unattended unterwegs ist, sollte es nochmal ein Unterschied sein. Außerdem ist die Dauer sicher auch nochmal ein Faktor.
Wenn die Reduktion von richtig krass schlimm auf krass schlimm für dich ein Unterschied ist, dann ja. Noch mal: Deren Produktivsysteme wurden kompromittiert. Und zwar bereits im Dezember 2023, wie sie nach und nach inzwischen zugeben haben: https://www.heise.de/news/Anydesk-Einbruch-Hersteller-bestaetigt-Dezembe ...

Es reicht schon z.B. ein kompromittiertes Update zu verteilen oder noch cleverer: Ein offizielles zu verseuchen, um möglichst lange unentdeckt zu bleiben. Das installieren alle brav und dann hilft die Nebelkerze "aber es war ja nicht unbeaufsichtigt" schon nichts mehr, weil dann z.B. das ausgehebelt sein kann. Oder es ist gleich ein Backdoor in der Software, sodass das überhaupt keine Rolle mehr spielt.

Falls das nicht passiert ist (was wir bis heute nicht wissen), dann nicht, weil AnyDesk so gut gearbeitet hat. Sondern weil sie Glück hatten. Wie Microsoft, als ihre internen & Cloudsysteme für jeden offen standen und das (soweit öffentlich bekannt) keiner ausnutzte: https://u-labs.de/portal/bingbang-hunderte-millionen-durch-azure-ad-konf ...

AnyDesk war bisher gegenüber dem Platzhirsch TeamViewer ein Alternative und wurde größer. Und auch klar ist, dass sie genau dadurch auch ins Visier gerieten. Ich find's nicht gut, dass es passierte, aber ich verstehe, dass es sie erwischt hat.
Und was tut das zur Sache? Wenn ein Dienst Marktanteile gewinnt, sollte er genau deswegen um so mehr in die Absicherung investieren, nennt sich Skalierung. Tut er das nicht, steigt halt das Risiko für die Kunden. Wenn man Ausreden wie "wir sind so groß" akzeptiert, wird das nicht besser, sondern zum System. Die sind ja auch nicht doof und merken, dass sie damit durch kommen, ohne Geld investieren zu müssen - also wird es gemacht.

Die wissen seit mindestens ~1 Monat, dass sie kompromittiert wurden (offizielle Aussage Mitte Januar). Man faselt von "Sicherheit hat höchste Priorität" und nennt sogar eine forensische Untersuchung. Trotzdem weiß bis heute keiner, was genau passiert sein soll. Also ist das entweder eine Lüge, oder sie halten die Infos absichtlich zurück. Hat in jedem Falle nichts mit der Transparenz zu tun, die ihnen angeblich "von größter Bedeutung" sein soll. Sonst wäre mindestens diese Analyse veröffentlicht, wie andere das auch tun, die noch halbwegs ernst genommen werden wollen.

Die Community hat teils schon mehr herausgefunden, als der verantwortliche Hersteller, der manches erst bestätigt, nachdem es bereits öffentlich wurde und kaum zu leugnen ist. Als Betroffener würde ich mir spätestens nach diesem zweiten Unfall mehrfach verarscht vorkommen.
Member: Visucius
Visucius Feb 10, 2024 updated at 12:39:46 (UTC)
Goto Top
Mein Gott, dieses "digitale" Denken. Überall Nullen/Einsen, Freund/Feind, Schwarz/Weiß, usw. 😏

Kann man ja supi machen. Aber dann bitte auch konsequent! Kein Cisco, keiner der üblichen FW- und Router-Hersteller, Microsoft geht schon mal gleich gar nicht und Linux auch nicht so wirklich. Von der Prozessor-HW aus China wollen wir seit Spectre lieber nicht anfangen und dann noch die Firmware ... 🫣

Also – ab jetzt bitte alles selber machen! Nur da bin ich von der bewiesenen Unfähigkeit Dritter gefeit 😂

Am Ende sind es Kompromisse, die man eingeht.
a) Wenn anydesk nicht lokal installiert ist
b) Nur temporär aktiviert wird
c) Die aktuelle Fassung ist - mit dem neuen (vermeintlich sicheren Zertifikat)

Dann ist das Risiko für mein Netzwerk doch nicht mehr bei anydesk zu suchen. Dann kann ich mich getrost den anderen Sicherheitslücken widmen, mit denen meine MAs und ich seit Jahren unser Tagwerk verbringen (Outlook, Offices-SW, "Virenscanner/Snakeware", usw.)

VG
Member: -WeBu-
-WeBu- Feb 10, 2024 updated at 14:32:10 (UTC)
Goto Top
Kann man ja supi machen. Aber dann bitte auch konsequent! Kein Cisco, keiner der üblichen FW- und Router-Hersteller, Microsoft geht schon mal gleich gar nicht und Linux auch nicht so wirklich. Von der Prozessor-HW aus China wollen wir seit Spectre lieber nicht anfangen und dann noch die Firmware ...

Exakt das!

Ihr zettelt hier sehr oft eure Empörungs-Threads über alles Mögliche an, die ich zunächst immer mal zur Kenntnis und später erst ernst nehme, wenn man mehr weiß, denn sofortige Fragen wie "Bei was und unter welchen Bedingungen hat diese Software gerade ein Problem?" können regelmäßig nicht geantwortet werden.

Einmal, weil ihr selbst oft keine Ahnung habt, ob und was es sein kann und was man vielleicht ausschließen oder Risiko-minimierend anders machen könnte und andererseits mauern die Unternehmen selbst mit Infos, wo und wie der Bug gerade Schaden anrichtet, was man bis zu einem gewissen Grad auch verstehen kann.

Was ich mir für mich vorstellen kann: Ich habe schon lange alle letzten Major-Releases von AnyDesk.

7.1.16
6.3.5
5.5.3
4.0.1

und jetzt warte ich geduldig, bist der Defender diese beschimpft. Solange bin ich einfach vorsichtig und versuche, AnyDesk nicht zu benötigen.

Ich hab aus früheren Zeiten bei mir noch UltraVnc (lokal) laufen und könnte das wenigstens mal bei einigen Rechnern ausrollen, aber da muss ich halt Ports von/nach außen aufmachen, was ich eigentlich nie will.
Member: ASP.NET.Core
ASP.NET.Core Feb 10, 2024 at 17:02:01 (UTC)
Goto Top
Zitat von @Visucius:
Mein Gott, dieses "digitale" Denken. Überall Nullen/Einsen, Freund/Feind, Schwarz/Weiß, usw. 😏
Totalversagen wird als solches Benannt, um Gottes Willen! Wo kommen wir da denn hin, wenn wir uns nicht in schwammigem PR-Speech bewegen? Beten wir mal zu Gott, dass er uns Erleuchtung schenken mag. Hat zwar bisher nicht so gut funktioniert, aber die Wege des Herrn sind unergründlich oder so face-wink

Zitat von @Visucius:
Am Ende sind es Kompromisse, die man eingeht.
Im Kern Richtig erkannt: IT Sicherheit ist so kaputt, dass wir oft leider nur den am wenigsten Schlimmen nehmen & so gut es geht Risikominimierung betreiben können.

Zitat von @Visucius:
Dann kann ich mich getrost den anderen Sicherheitslücken widmen, mit denen meine MAs und ich seit Jahren unser Tagwerk verbringen (Outlook, Offices-SW, "Virenscanner/Snakeware", usw.)
Oh weh, die gehören nicht dazu.

Zitat von @Visucius:
Dann ist das Risiko für mein Netzwerk doch nicht mehr bei anydesk zu suchen.
Stimmt, sondern bei dir, weil du deren Zeugs immer noch nutzt, siehe vorheriger Post.

Zitat von @-webu-:
Ihr zettelt hier sehr oft eure Empörungs-Threads über alles Mögliche an, die ich zunächst immer mal zur Kenntnis und später erst ernst nehme, wenn man mehr weiß, denn sofortige Fragen wie "Bei was und unter welchen Bedingungen hat diese Software gerade ein Problem?" können regelmäßig nicht geantwortet werden.
Habe ich ausführlich beschrieben. Erst mal abwarten, bis es zu spät ist, klingt nach einer super Strategie!

Zitat von @-webu-:
Einmal, weil ihr selbst oft keine Ahnung habt, ob und was es sein kann und was man vielleicht ausschließen oder Risiko-minimierend anders machen könnte und andererseits mauern die Unternehmen selbst mit Infos, wo und wie der Bug gerade Schaden anrichtet, was man bis zu einem gewissen Grad auch verstehen kann.
Da kannst du dich beim Hersteller bedanken, wie gesagt. Vom Schlimmsten auszugehen rettet einem oft den Arsch. Ist ja jetzt nicht so, als kommt meistens später raus, dass es doch noch einige Stufen Schlimmer war. Vorsicht ist im Zweifel besser als Nachsicht.

Zitat von @-webu-:
und jetzt warte ich geduldig, bist der Defender diese beschimpft. Solange bin ich einfach vorsichtig und versuche, AnyDesk nicht zu benötigen.
Made my day! Noch besser als Beten. Mitsubishi lässt grüßen 😂

Zitat von @-webu-:
Ich hab aus früheren Zeiten bei mir noch UltraVnc (lokal) laufen und könnte das wenigstens mal bei einigen Rechnern ausrollen, aber da muss ich halt Ports von/nach außen aufmachen, was ich eigentlich nie will.
Gäbe es nur eine Lösung dafür...
Member: kgborn
kgborn Feb 10, 2024 updated at 17:44:31 (UTC)
Goto Top
Zitat von @ASP.NET.Core:

Hi,
inzwischen gibt es aus Frankreich Anhaltspunkte dafür, dass sich Anydesk bereits im Dezember hat Hacken lassen: https://www.golem.de/news/security-wann-wurde-anydesk-gehackt-2402-18198 ...

Der Golem-Artikel war von mir - hatte das vorher im Blog thematisiert - und da liest auch heise mit bzw. wurde teilweise initial von mir informiert face-wink. Lochkartenstanzer hat ja die Artikelfolge aus meinem Blog angefangen in seinem Post als Thread-Starter zu verlinken - intern sind meine Beiträge ja jeweils am Artikelende verlinkt.

Bin inzwischen bei Teil 10 angelangt - eine Drittparteil hat beantragt, das Zertifikat zur Signierung von Binärdateien zurückzuziehen (wurde von DigiCert stattgegeben).

Und möglicherweise sah sich AnyDesk auf Grund meiner Berichterstattung gezwungen, die FAQ um den kleinen Passus zu erweitern, dass man die Kompromittierung "nach einer Untersuchung auf Ende Dezember 2023" eingrenzen konnte.

Wann und wie die angegriffen wurden, ist immer noch offen. Immer nur zugeben, was bereits offen gelegt wurde.
Member: emundem
emundem Feb 10, 2024 at 17:39:16 (UTC)
Goto Top
Hier kann man live beobachten warum ständig welche gehackt werden wenn das Haus schon brennt und manche gechillt sitzen bleiben um erst mal rum zu diskutieren ob das Feuer wirklich heiß ist und man nicht vllt doch drinnen bleiben kann weil es ja noch nicht alles in Vollbrand steht face-big-smile
Und woanders fürchtet man vor 0days oder HW hacks. Zurück in die Zukunft.
Member: -WeBu-
-WeBu- Feb 10, 2024 at 19:24:14 (UTC)
Goto Top
@kgborn, wie siehst du das?

Was ist mit alten Versionen?

Würde Anydesk jetzt noch Versionen arbeiten lassen, die "kompromitiert" sind (was immer das am Ende heißt)?

Würde der Defender heute/morgen/übermorgen immer noch Versionen nicht anmeckern, obwohl die kompromitiert sind?
Member: Vision2015
Vision2015 Feb 11, 2024 at 07:55:23 (UTC)
Goto Top
Moin..
Zitat von @-webu-:

@kgborn, wie siehst du das?

Was ist mit alten Versionen?
was soll da sein? die sachlage ist die gleiche!

Würde Anydesk jetzt noch Versionen arbeiten lassen, die "kompromitiert" sind (was immer das am Ende heißt)?
probiere es doch selber mal aus!

Würde der Defender heute/morgen/übermorgen immer noch Versionen nicht anmeckern, obwohl die kompromitiert sind?
na, dann kannst du lange warten... face-smile
Frank
Member: -WeBu-
-WeBu- Feb 12, 2024 updated at 17:49:42 (UTC)
Goto Top
was soll da sein? die sachlage ist die gleiche!

Keine Ahnung, aber warum sollte das keinen Unterschied machen? Aktuell haben/hatten die Server(!) dort wohl ein Problem (gehabt). Welches? Hat die aktuelle Version 8 noch ein Problem? Was ist mit den On Promise Lösungen auf eigenen Servern der Kunden? Die haben doch gar keinen Kontakt zu AnyDesk?! Wo soll denn da (nach möglichem Update) noch das Problem sein?

probiere es doch selber mal aus!
Habe ich. Alle Versionen lassen sich starten, ohne Probleme. Weder Anydesk sagt: "Bitte nicht nutzen, erst updaten!", noch der Defender sagt: "Achtung, ganz böses böses Zeug!"

na, dann kannst du lange warten... face-smile
Bedeutet? MS pennt? Nachdem mittlerweile Anydesk überall unter einem Mikroskop liegt?

Ganz abgesehen davon, dass bei allem, was berichtet wurde, immer wieder von "Passwort-gesicherten Sessions" und "Passwort hier" und "Passwort da" die Rede war. Außerdem wird immer und immer wieder wird von "installierter Software" gesprochen und nicht von einfach nur gestarteter.

Des weiteren wird davon berichtet, dass für Endgeräte keine Gefahr besteht, was ich verstehe, wenn es um deren Server und Infrastruktur ging. Ich sage: Würde diese Gefahr für die EXEn doch noch bestehen, würde ich mir wünschen, dass Anydesk mit alten, gefährdeten Versionen keine servergestützen Verbindungen mehr akzeptieren würde, sondern "Update" verlangt.

Also, wenn ich da oben die Situationen "keine Installation und immer beidseitig bestätigte und begleitete Sessions" mal annehme, fehlt mir aktuell die Phantasie zur dieser Panik und Massen-Hysterie, wie man sie bei solchen Fällen sehr gerne gemeinschaftlich begeht und sich dabei auch noch hochzieht.

Ich bin nicht blauäugig, aber niemand konnte hier bisher wirklich etwas aktuell noch Substantielles zur og. Situation aufzeigen. Stattdessen nur "Wer morgens Anydesk nutzt, stirbt bis zum Abend an Pest, Colera und Covid gleichzeitig." face-smile
Member: aqui
aqui Feb 12, 2024 at 17:54:41 (UTC)
Goto Top
Bedeutet? MS pennt?
Ein Schelm wer Böses dabei denkt! 🤣
Member: -WeBu-
-WeBu- Feb 12, 2024 at 18:10:19 (UTC)
Goto Top
Ein Schelm wer Böses dabei denkt! 🤣

Ja, denke ich auch, aber nicht mehr in dieser Situation. MS hat wenigstens mal hingeguckt, denke ich.

Ich habe gerade mal geschaut, was das Zertifikat der aktuell runter ladbaren AnyDesk 8.0.8 hat: Nach wie vor 27.01.24 19:04:54 Uhr.

Das macht mir somit eher weniger Angst für unser Zeug, so wie wir es nutzen (s.o.), aber: feel free to have panic. face-smile
Member: Vision2015
Vision2015 Feb 12, 2024 at 19:37:23 (UTC)
Goto Top
Moin...
Ich bin nicht blauäugig....
nun, was soll ich dazu sagen- face-smile
wenn du der meinung bist, das sicher ist- kein Problem, dann nutze es eben!
Ja, denke ich auch, aber nicht mehr in dieser Situation. MS hat wenigstens mal hingeguckt, denke ich.
denkst du face-smile

Frank
Member: Lochkartenstanzer
Lochkartenstanzer Feb 12, 2024 at 20:07:24 (UTC)
Goto Top
Zitat von @-webu-:

Ja, denke ich auch, aber nicht mehr in dieser Situation. MS hat wenigstens mal hingeguckt, denke ich.
Wenn die es nicht einmal schaffen ihre eigene Software ordentlich durchzugehen, wie soll es da erst mit fremder Software sein.

lks
Member: -WeBu-
-WeBu- Feb 12, 2024 at 20:23:16 (UTC)
Goto Top
Ich brnutze ja gerade auch kein Anydesk, aber irgendwie fehlt mir eure Hysterie. Ich hatte die aber auch nicht, als ihr hier wegen Spectre und Generalschlüsselklau von MS auf den Empörungsbarrikaden wart.

Ich leg den Kopf schräg und überlege: Was kann es sein? Wie schlimm kann es sein? Und gibt es Situationen, die das Problem begünstigen und welche, bei denen das wohl weniger bis gar nicht auftritt.

Ich weiß aber, dass das hier wohl keiner überlegt, zumindest ähnliche Überlegungen nicht öffentlich teilt.

Viel Empörendes finde ich allerdings in meinen Administrator-Benachrichtigungen per Mail, wo permanent die falsche Beitragsuhrzeit steht. Gibt's da einen thread, wo ich nachlesen kann, warum das immer um eine Stunde falsch ist? Nur mal so nebenbei?
Member: Lochkartenstanzer
Lochkartenstanzer Feb 16, 2024 updated at 14:36:22 (UTC)
Goto Top
Moin,

Heute kam die offizielle Warnung von Anydesk per mail face-smile


Dear customer,

As you may be aware, AnyDesk recently experienced a cyber incident. We promptly implemented our response plan and collaborated closely with authorities to address it. The integrity of and trust in our products is of paramount importance to us.


We take this situation seriously, and we have released a software update with our new certificates for AnyDesk clients for Windows and macOS. The existing certificates will be revoked shortly.


To keep using AnyDesk, you will need to update it to the newest version.

AnyDesk Client: AnyDesk version 8.0.8 (Windows), 7.0.15 (Windows, stable), and 8.0.0 (macOS) have been auto-updated. If you use a different version, update your client by downloading the latest version from our website.
AnyDesk Custom Clients: Access the Custom Client Generator on my.anydesk, download the Windows .exe or .msi file you have previously used, or the macOS .dmg or .pkg and deploy it to your devices. This also works for all On-Premises versions.
Other operating systems: If you use other operating systems, a new version of AnyDesk will be available soon. You can check our FAQ for updates.

We have prepared the Help Center article "How do I make sure I use AnyDesk with the new certificate" with instructions on how to update. A public statement and FAQ (https://anydesk.com/en/faq-incident) are available on our website for additional information.


If you have any further questions, please do not hesitate to contact us at hotline@anydesk.com.

Thank you for your continued support of AnyDesk.


Best regards,

Your AnyDesk team
Member: aqui
aqui Feb 16, 2024 at 14:42:01 (UTC)
Goto Top
Wahrung oder Warnung?? 🤔
Member: Lochkartenstanzer
Lochkartenstanzer Feb 16, 2024 at 14:58:01 (UTC)
Goto Top
Zitat von @aqui:

Wahrung oder Warnung?? 🤔

Du weißt doch, Dicke Finger. face-smile
Member: ASP.NET.Core
ASP.NET.Core Feb 19, 2024 at 19:07:24 (UTC)
Goto Top
Zitat von @-webu-:
Ich leg den Kopf schräg und überlege: Was kann es sein? Wie schlimm kann es sein?
Nein, das wurde hier alles schon beschrieben. Du siehst halt bloß, was du sehen willst: Alles ist gut, achten Sie nicht auf das halb eingestürzte Gebäude. Da hat der Architekt nur bisschen was falsch gemacht. Etwas Farbe drüber, heute Abend können Sie wieder drin wohnen. Total sicher, versprochen!

Wie Kettenraucher, die denken, so schlimm wie es die Fakten behauptet, wird es schon nicht kommen. Solche Realitätsleugnung kann man machen. Nur muss man sich dann nicht wundern, wenn das höhere Risiko, dem man sich aussetzt, eines Tages Konsequenzen hat. Der Lungenkrebs ist dann halt da, egal wie skeptisch man davor gegenüber den Warnhinweisen war face-wink
Member: -WeBu-
-WeBu- Feb 19, 2024 updated at 19:13:49 (UTC)
Goto Top
Könntest du noch ein bißchen mehr Polemik und Panik-Pathos in deinen Post packen? face-smile
Member: ASP.NET.Core
ASP.NET.Core Feb 19, 2024 at 21:03:34 (UTC)
Goto Top
Zitat von @-webu-:

Könntest du noch ein bißchen mehr Polemik und Panik-Pathos in deinen Post packen? face-smile
Wenn du mir erklärst, wo das da drin stecken soll, lässt sich darüber reden, das mal einzubauen.