Vorsicht ANYDESK wurde gehackt- Risiko das euer Rechner übernommen wird

[Tron Mcp]

ANYDESK Gehackt, Gefahr das eure Rechner übernommen werden, wenn ihr eine der bisherigen Versionen installiert habt.

Gestern, 03.02.2024 kamen erste Meldungen auf verschiendenen Portalen:

Der Anbieter von Remotelösungen Anydesk wurde gehackt. Der Vorfall scheint noch nicht abgeschlossen zu sein.

https://www.golem.de/news/cyberangriff-f...81848.html

Wenn ihr Anydesk installiert habt, solltet ihr es umgehen deinstallieren und abwarten bis Entwarnung gegeben, sowie eine neue Version verfügbar ist.


Warum ist das für euch gefährlich?

Nun Anydesk ist eine "Man in the Middle Lösung". 
Jeder Rechner der das installiert hat meldet sich periodisch bei Anydesk das er verfügbar wäre.

Sobald jemand eine Verbindung zu euch aufnehmen will, meldet er sich bei Anydesk an, und diese vermittlen weiter.
Das ist der Grund warum es auch bei aktivierter NAT daheim noch funktioniert.

Für beide Seiten sieht es so aus wie wenn sie zu Anydesk initial die verbindung aufnehmen.

ABER: In diesem Falle bedeutet das, das die erfolgreichen Angreifer versuchen könnten als Anydesk ausgegeben auf euren Rechner zugreifen.
Deswegen hat Anydesk auch die bisher genutzen Zertifikate für ungültig erklärt.
Aber sie sind noch am kämpfen, und die Nachrichtenlage ist noch nicht vertrauenswert.


Wie bekommt ihr das unter Linux deinstalliert?

1. Der laufende Client muss gestoppt werden. Dieses geschieht in Mint über das in der rechten unteren Ecke eingeblendeten Logo. Rechtsklick drauf - beenden.
Nun verschwindet das Logo.  Danach wäre euer Rechner sicher, aber beim nächsten Rechnerstart habt ihr wieder die unsichere Version laufen.

2. Nun deinstalieren wir die Software indem wir über "LM - Internet" - dann Rechtsklick auf Anydesk ausführen. Wir sehen die Option "deinstallieren" und klicken drauf.
Nun erfolgt die Passwort Abfrage eures Users, und anschließend die Deinstallation.


Wenn es eine Fehlermeldung gibt, dann öfnet man die Konsole, und meldet sich mit "su root" an und  gibt sein root Passwort ein.
Danach gibt man diese Zeile ein:       apt --fix-broken install      und bestätigt alle Anfragen.
Nun sollte die obige Deinstallation gehen.

Anmerkung zu Anydesk:

Die Lösung an sich ist super, und extrem zuverlässig. Dumm finde ich die Informationsblockade durch Anydesk. 
Die hätten von sich aus schneller warnen müssen, da es alle ihre Kunden betrifft. Das hätte Vertrauen geschaffen.

Dennoch werde ich es wieder einsetzten sobald es wieder sicher ist.

[Trawell]

Danke für die Info Tron.

Die Meldung gestern hat mich ne Stunde vom freien Samstag geklaut, wir haben es überall deinstalliert.

Eine Alternative wäre vielleicht ein selbst gehostetes Rustdesk, ich selbst hab dies privat schon länger im Einsatz, aber über ein Wireguard VPN.

Viele Grüße
Trawell

[Tron Mcp]

Gerne Trawell.

ich wollte es schon gestern posten, aber habe erst Bestätigungen auf anderen Kanälen abgewartet.

Selber hab ich es auch sofort deinstalliert, aber das ist bei mir in vielen VMs mit drin....

Was man noch hernehmen kann hängt stark von der eigene Anforderung ab.

100% Sicher gibt es nicht, das ist uns allen bewusst.

Aber je nach Lösung sollte man zusätzliche Vorsorge tragen.

- Hat man einen "Man in the Middle" Lösung wie Teamviewer oder Anydesk, hilft eigentlich nur das Bedarfsbezogenen Starten.
Aber das geht nicht wenn auf der Serverseite keiner sitzt. Und mit Firewall kann man diese 2 Produkte wohl nicht absichern, denn wie meine Netzwerk Kollegen mal berichteten, die suchen sich freie Ports- überall, und tunneln jede Security Lösung durch.

- Hat man aber eine Peer to Peer Lösung, von denen es viele gibt, wie VNC, RDP, etc. Dann kann man die mit einer bedarfsgesteuerten Firewall gut absichern.
Denn deren Server hören auf genau definierten Ports. Sperrt man diese Serverseitigen Ports mit einer externen Firewall, die sich remote konfigurieren läßt, so kann zwar die Software dauerhaft laufen und horchen (ob wer was von ihr will), aber man ist Sicher gegen Angreifer.
Jede dieser Lösungen ist aber unsicher ohne Firewall!!!!!!

Beispiel 
- VNC: Passwort zu kurz. Beliebtes Angriffsziel
- RDP: ständig Sicherheits Löcher. Beliebtes Angriffsziel

Dennoch verwende ich das VNC Protokoll als Backup Remote Lösung für meinen Windows Server, allerdings UVNC mit einem Krypto Plugin das Passwort Autentifizierung durch von mir erstellte Client -Server Zertifikate Ersetzt. Die Lösung ist langsam aber gut AES256 verschlüssselt. Gegen Angriffe limitiere ich Serverseits die VNC Ports 5800/5900 mit der Rechenzentrum Firewall auf Zugriff nur durch meine Heim IP.

Ähnlich setze ich auch RDP ein. Unverschlüsselt aber schneller für remote Desktop.
Datentransfer mache ich mit WinSCP und sftp. Diesmal mit Zwischenstop auf einer Storagebox. Also per RDP auf den Server, dann von dort WInSCP initieren.
So ist das auch nur bei Bedarf aktiv, verschlüsselt, schnell, und kann riesige Dateigrößen. (von mir getestet bis 70Gigabyte Datei)

Teamviewer hab ich schon lange rausgeschmissen. Da fehlt mir das Vertauen auf Zuverlässigkeit und Sicherheit. Funktion war aber gut. Hab schon mehr Berichte gehört das es Anderen wie mir ergangen ist: Teamviewer behauptet pötzlich die Nutzung wäre professionell, und sperrt dir den Zugang. Ausserdem war nach Verkauf von Teamviewer nicht klar wer da tatsächlich nun reingucken kann, da Man in the middle Lösung.

Bei Teamviewer stehst dann saublöd da wenn du nicht eine Backup Remote Lösung hast.
Derlei ist mir mir Anydesk bisher nicht passiert.

Viele Grüße

Tron

[ThunderTower]

Teamviewer behauptet pötzlich die Nutzung wäre professionell stimmt!

Ich kann das nur aus eigener Erfahrung bestätigen. Habe am gleichen Tag zu Anydesk gewechselt, da mir für solche "Spielchen" echt die Zeit fehlt. Jetzt haben wir also wieder ein neues Problem. Anydesk ist aber auch nicht Mutter Teresa und die wollen ebenfalls Geld verdienen. Haben ja auch die Zeit zur Nutzung limitiert und blenden oben am Bildschirm einen roten Balken ein. Vielen Dank Tron Mcp für diese Information!

[Tron Mcp]

Es gibt im Falle Anydesk ein Update des Infostandes:


https://www.golem.de/news/nach-cyberangr...81913.html


Interessant ist eine darin enthaltene Warnung:


Da der Quellcode und die bisher genutzen Zertifikate gestohlen wurden, ist es möglich das gefälschte Software im Umlauf kommt, die sich als Original ausweisen kann.

Daher extrem Vorsicht WO man eine Software herbekommt.

Im Moment wüde ich noch total davon absehen, wenn man die Möglichkeit hat abzuwarten.

Danach nur per HTTPS von der zertifizierten Original Seite von Anydesk die Software holen.

Und ja Lukas: Es ist eine kommerzielle Software, insoweit nicht unser Interessens-Gebiet, aber ich weiss das viele von uns diese einsetzen.
Besonders weil es für Linux und Windows gleichermaßen geht.


Gruß Tron

[Trawell]

Hallo zusammen,

wir haben gerade gewechselt von Anydesk zur Opensource Variante Rustdesk.

Aber es gibt ja auch Leute die Windows privat zuhause nutzen und mal bei den Eltern, Freunden und so was schauen wollen.
Dafür gibts ja unter Windows die Remotehilfe (Nicht RemoteDesktop)
Und ja, für den Helfenden setzt es glaub ich ein Microswoft Account voraus.

Nur so als Info, auch wenn ich Windows bzw. die Politik von MS nicht so mag, aber grundsätzlich haben sie funktionierende Produkte.
Das gleiche gilt auch für remotedesktop.google.com.
Auch ein Produkt, was ich sehr interessant finde, wenn man sich gerne im Google Universum bewegt.

Bei Rustdesk wird halt ein eigener Server vorausgesetzt, um die Hoheit über alles zu behalten.

Viele Grüße
Trawell

[Tron Mcp]

So- heute gibt es Updates zum Risiko von Anydesk.

Ich empfehle diese Quelle genau zu lesen.

https://www.golem.de/news/security-wann-...81988.html

Noch drastischer erscheint es in hier - aber klar das BSI hat ja eine gespaltene Persönlichkeit, nachdem es Schwachstelllen zurückhalten soll für staatliche Einbrüche in Rechner.
Und dafür wäre der verheimlichte Anydesk Hack ja sowas wie ein 6er mit Zusatzzahl im Lotto.

https://www.heise.de/news/Anydesk-Einbru...21134.html

Hier die Grob Zusammenfassung:

Laut jetzigem Info Stand geht der Vorfall vermutlich auf Mitte Dezember zurück, und es gab schon ab Dezember Auffälligkeiten bei den Clientinstallationen.
Die Kunden Anydesks scheinen also selbst vom Hack Betroffene zu sein.

Offiziell wird aber die "ich weiss von nichts" Masche in Deutschland gefahren. Ein unhaltbarer Zusatand wenn man das Kundenvertrauen behalten will.

Auch zu dem Grund des Hacks gibts nun glaubwürdige Vermutungen:
Die setzen offenbar das häufig als unsichere aufgetretene Produkt Confluence ein, da kann man nur den Kopf schütteln. 

Sorry aber das klingt nach Dummheit, da hält sich mein Mitleid nun in engen Grenzen.

Bei mir klingeln nun auch die Alarmglocken. Ich hatte noch einen letzten Windows Rechner mit Anydesk im Einsatz, der schon Jahre stabil lief.
So mitte Dezember fing der an auf dem Netzwerk zu spinnen, Verbindungen ab und aufzubauen, etc.
Irgendwann hats mich dann so genetvt das ich ihn nach Weihnachten neu aufgesetzt habe.....


Also was schrieben die Franzosen: 

DEINSTALLIERE ALLE ANYDESK PRODUKTE FÜR ALLE BETRIEBSSYSTEME - SOFORT
Und beobachte die Rechner.

Denn die Frage lautet ja wieso Anydesk gehackt wurde. Nachdem es nach bisherigen Wissenststand keine Erpressung oder Lösegeldforderung gab,
würde ich als Analyst sagen, das eigentliche Ziel sind die Anydesk Kunden.

Nach heutigen Wissenstand konnten die Angreifer einen halben Monat lang die Kunden attakieren, und wenn es blöd läuft, Backdoors / Trojaner etc installieren.

Ausnahme Windows Version 8.0.8. Wenn man noch Vertauen hat bei der Kommunikation.

[ThunderTower]

Die einen machen das Land platt und wir machen eben mal Rechner platt. Willkommen im Land der Plattmacher!

Dabei kann man unglaublich viel lernen :-)

[ThunderTower]

Grundsätzlich finde ich den Einsatz von "NICHT EIGENEN" Vermittlungsservern eher kritisch als geistreich. Zwischen den Verbindungen steht meistens ein unsichtbarer fremder Server.

Als normaler Nutzer kenne ich weder das Unternehmen noch dessen Ziel - Hauptaufgabe. AnyDesk, TeamViewer usw. nutze ich persönlich nicht mehr!

Auch Remote-Desktop sollte man (wenn man es richtig macht) selber hosten.

Man in the Middle ist nicht so gut. Frau in the Middle ist schon besser :-)

[Tron Mcp]

Hallo zusammen,

wir haben gerade gewechselt von Anydesk zur Opensource Variante Rustdesk.

Aber es gibt ja auch Leute die Windows privat zuhause nutzen und mal bei den Eltern, Freunden und so was schauen wollen.
Dafür gibts ja unter Windows die Remotehilfe (Nicht RemoteDesktop)
Und ja, für den Helfenden setzt es glaub ich ein Microswoft Account voraus.

Nur so als Info, auch wenn ich Windows bzw. die Politik von MS nicht so mag, aber grundsätzlich haben sie funktionierende Produkte.
Das gleiche gilt auch für remotedesktop.google.com.
Auch ein Produkt, was ich sehr interessant finde, wenn man sich gerne im Google Universum bewegt.

Bei Rustdesk wird halt ein eigener Server vorausgesetzt, um die Hoheit über alles zu behalten.

Viele Grüße
Trawell

Hallo Trawell,

danke für den Tipp mit Ruskdesk. Ich schaue mir den gerade an.

https://de.wikipedia.org/wiki/RustDesk

https://rustdesk.com/

Klar ist das auch eine Dreieckbeziehung mit Vermittlung in der Mitte. Aber anders ist schwer über 2 NATs zu kommunizieren.
Wie immer muss man der Vermittlung trauen- aber hier kann man selber einen Vermittlungsserver aufsetzten.
Das wäre besonders für Firmen interessant, weil die kommerzielen Produkte recht hohe Kosten verursachen.
Andererseits fällt da ein zusätzlicher eigener Server kaum ins Gewicht.

---

Grundsätzlich finde ich den Einsatz von "NICHT EIGENEN" Vermittlungsservern eher kritisch als geistreich. Zwischen den Verbindungen steht meistens ein unsichtbarer fremder Server.

Als normaler Nutzer kenne ich weder das Unternehmen noch dessen Ziel - Hauptaufgabe. AnyDesk, TeamViewer usw. nutze ich persönlich nicht mehr!

Auch Remote-Desktop sollte man (wenn man es richtig macht) selber hosten.

Man in the Middle ist nicht so gut. Frau in the Middle ist schon besser :-)

Na das mit Frau in the Middle hat auch seine Probleme.
Meine Tochter kroch früher in die Mitte des Doppelbettes, hat sich dann im Laufe der Nacht um 90Grad gedreht, und einen mit den Füssen hinaus gekickt....