Anydesk-Einbruch: Französisches BSI-Pendant vermutet Dezember als Einbruchsdatum
Die französische IT-Sicherheitsbehörde datiert die Anydesk-Kompromittierung auf Dezember 2023. Und empfiehlt die Deinstallation der Software.
Der Einbruch bei dem Fernsteuerungsanbieter Anydesk fand wohl früher statt als bisher angenommen. Das CERT-FR der französischen IT-Sicherheitsbehörde liefert Hinweise zu dem Vorfall, in denen als Datum der 20. Dezember 2023 genannt wird.
In der Warnung des CERT-FR vom Montag dieser Woche erklärt die Behörde, dass das Bundesamt für Sicherheit in der Informationstechnik die französischen Kollegen am 29. Januar 2024 über den IT-Sicherheitsvorfall bei Anydesk informiert habe. Das liegt einige Tage vor den ersten Hinweisen auf Störungen bei Anydesk am Mittwoch der vergangenen Woche sowie vor der Anydesk-Bestätigung aus der Nacht zum Samstag und deutlich vor der Freigabe unter dem Status TLP:Clear des BSI vom Montag.
Französisches CERT mit drastischen Handlungsempfehlungen
Betroffen von dem Einbruch und dem Diebstahl von Zertifikaten sind demnach alle Programme, die Anydesk herstellt, auf allen Plattformen: Android, AppleTV, iOS, Linux, macOS, Windows und so weiter. Lediglich fĂĽr Windows gibt es die Software-Version 8.0.8, die mit neuem Zertifikat signiert wurde und demnach vertrauenswĂĽrdig ist.
Die bislang bekannten Gefährdungspotenziale, die Anydesk selbst nennt – Man-in-the-Middle-Angriffe oder Veröffentlichen von Software mit dem kopierten Anydesk-Zertifikat –, kann das CERT-FR bislang zwar nicht bezüglich Wahrscheinlichkeit und Schwere der Ausnutzbarkeit einstufen. Die durch den Einbruch aufgerissene Schwachstelle bei Nutzern der Software könne jedoch als Einstiegspunkt in IT-Systeme dienen.
CERT-FR-Empfehlungen zu GegenmaĂźnahmen
Organisationen sollten prüfen, ob bei ihnen Anydesk-Software läuft – das könne auch unwissentlich der Fall sein. Daher sollen IT-Verantwortliche alle Anydesk-Software außer der gesicherten Anydesk-Windows-Version 8.0.8 oder neuere von ihren Systemen entfernen. Die Behörde listet dazu Hinweise zum Aufspüren der Software auf, die den sonst bei Malware üblichen "Indicators of Compromise" (IOCs), also Hinweisen auf einen Befall, gleichen. Nach dem Verteilen der aktualisierten Software sollen IT-Verantwortliche Apps aufspüren und blockieren, die mit einem bestimmten Zertifikat signiert wurden.
AuĂźerdem sollen Admins schauen, welche Maschinen zu *.net.anydesk.com
verbinden und dort nach Anydesk-signierter Software suchen. Auch Hinweise für verschiedene Betriebssysteme, wie dort etwa Standard-Pfade und Dateinamen von Anydesk-Installationen lauten, sollen bei dem Aufspüren und Entfernen der Software helfen. Als weitere Vorsichtsmaßnahme sollen auf betroffenen Maschinen Protokolldateien des Systems und von Anydesk sowie Netzwerk-Logs gesammelt und aufbewahrt werden, um für möglicherweise weitere nötige Analysen bereitzustehen.
Anydesk-Einbruch bereits im vergangenen Jahr?
Ein Tipp der Franzosen hat es aber in sich: "Suchen Sie nach verdächtigen Aktivitäten auf diesen Maschinen am und nach dem 20.12.2023", empfehlen die IT-Sicherheitsexperten. Dieses Datum war bislang weder vom BSI, noch von Anydesk genannt worden und deutet auf den Zeitpunkt der Netzwerk-Kompromittierung bei Anydesk weit vor dem bisher vermuteten Bereich um Mitte Januar herum.
Lesen Sie auch
BSI veröffentlicht Erkenntnisse zu Anydesk-Einbruch
IT-Sicherheitsvorfall: Anydesk bestätigt Einbruch in Produktionssysteme
Fernwartungssoftware Anydesk kämpft mit Störungen
Open-Source-Fernwartungsprogramme zum selbst Hosten im Vergleich
Fernhilfe: Wie Sie einen eigenen Server fĂĽr RustDesk und MeshCentral aufsetzen
Die Handlungsempfehlungen der französischen Cyber-Sicherheitsbehörde sind umfangreich und gehen weiter als das, was bislang von Anydesk oder dem Bundesamt für Sicherheit in der Informationstechnik empfohlen wurde. Da sie jedoch schlüssig sind aufgrund des Gefährdungspotenzials, sollten auch Administratorinnen und Administratoren aus Deutschland, Österreich und der Schweiz diesbezüglich nicht untätig bleiben.
(dmk)