Anydesk-Einbruch: Französisches BSI-Pendant vermutet Dezember als Einbruchsdatum Der Einbruch bei dem Fernsteuerungsanbieter Anydesk fand wohl früher statt als bisher angenommen. Das CERT-FR der französischen IT-Sicherheitsbehörde liefert Hinweise zu dem Vorfall, in denen als Datum der 20. Dezember 2023 genannt wird. Anzeige In der Warnung des CERT-FR vom Montag dieser Woche erklärt die Behörde, dass das Bundesamt für Sicherheit in der Informationstechnik die französischen Kollegen am 29. Januar 2024 über den IT-Sicherheitsvorfall bei Anydesk informiert habe. Das liegt einige Tage vor den ersten Hinweisen auf Störungen bei Anydesk am Mittwoch der vergangenen Woche sowie vor der Anydesk-Bestätigung aus der Nacht zum Samstag und deutlich vor der Freigabe unter dem Status TLP:Clear des BSI vom Montag. Französisches CERT mit drastischen Handlungsempfehlungen Betroffen von dem Einbruch und dem Diebstahl von Zertifikaten sind demnach alle Programme, die Anydesk herstellt, auf allen Plattformen: Android, AppleTV, iOS, Linux, macOS, Windows und so weiter. Lediglich für Windows gibt es die Software-Version 8.0.8, die mit neuem Zertifikat signiert wurde und demnach vertrauenswürdig ist. Die bislang bekannten Gefährdungspotenziale, die Anydesk selbst nennt – Man-in-the-Middle-Angriffe oder Veröffentlichen von Software mit dem kopierten Anydesk-Zertifikat –, kann das CERT-FR bislang zwar nicht bezüglich Wahrscheinlichkeit und Schwere der Ausnutzbarkeit einstufen. Die durch den Einbruch aufgerissene Schwachstelle bei Nutzern der Software könne jedoch als Einstiegspunkt in IT-Systeme dienen. CERT-FR-Empfehlungen zu Gegenmaßnahmen Organisationen sollten prüfen, ob bei ihnen Anydesk-Software läuft – das könne auch unwissentlich der Fall sein. Daher sollen IT-Verantwortliche alle Anydesk-Software außer der gesicherten Anydesk-Windows-Version 8.0.8 oder neuere von ihren Systemen entfernen. Die Behörde listet dazu Hinweise zum Aufspüren der Software auf, die den sonst bei Malware üblichen "Indicators of Compromise" (IOCs), also Hinweisen auf einen Befall, gleichen. Nach dem Verteilen der aktualisierten Software sollen IT-Verantwortliche Apps aufspüren und blockieren, die mit einem bestimmten Zertifikat signiert wurden. Außerdem sollen Admins schauen, welche Maschinen zu *.net.anydesk.com verbinden und dort nach Anydesk-signierter Software suchen. Auch Hinweise für verschiedene Betriebssysteme, wie dort etwa Standard-Pfade und Dateinamen von Anydesk-Installationen lauten, sollen bei dem Aufspüren und Entfernen der Software helfen. Als weitere Vorsichtsmaßnahme sollen auf betroffenen Maschinen Protokolldateien des Systems und von Anydesk sowie Netzwerk-Logs gesammelt und aufbewahrt werden, um für möglicherweise weitere nötige Analysen bereitzustehen. Anydesk-Einbruch bereits im vergangenen Jahr? Ein Tipp der Franzosen hat es aber in sich: "Suchen Sie nach verdächtigen Aktivitäten auf diesen Maschinen am und nach dem 20.12.2023", empfehlen die IT-Sicherheitsexperten. Dieses Datum war bislang weder vom BSI, noch von Anydesk genannt worden und deutet auf den Zeitpunkt der Netzwerk-Kompromittierung bei Anydesk weit vor dem bisher vermuteten Bereich um Mitte Januar herum. Lesen Sie auchMehr anzeigenWeniger anzeigen Die Handlungsempfehlungen der französischen Cyber-Sicherheitsbehörde sind umfangreich und gehen weiter als das, was bislang von Anydesk oder dem Bundesamt für Sicherheit in der Informationstechnik empfohlen wurde. Da sie jedoch schlüssig sind aufgrund des Gefährdungspotenzials, sollten auch Administratorinnen und Administratoren aus Deutschland, Österreich und der Schweiz diesbezüglich nicht untätig bleiben. (dmk) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Anydesk-Einbruch: Französisches BSI-Pendant vermutet Dezember als Einbruchsdatum Der Einbruch bei dem Fernsteuerungsanbieter Anydesk fand wohl früher statt als bisher angenommen. Das CERT-FR der französischen IT-Sicherheitsbehörde liefert Hinweise zu dem Vorfall, in denen als Datum der 20. Dezember 2023 genannt wird. Anzeige In der Warnung des CERT-FR vom Montag dieser Woche erklärt die Behörde, dass das Bundesamt für Sicherheit in der Informationstechnik die französischen Kollegen am 29. Januar 2024 über den IT-Sicherheitsvorfall bei Anydesk informiert habe. Das liegt einige Tage vor den ersten Hinweisen auf Störungen bei Anydesk am Mittwoch der vergangenen Woche sowie vor der Anydesk-Bestätigung aus der Nacht zum Samstag und deutlich vor der Freigabe unter dem Status TLP:Clear des BSI vom Montag. Französisches CERT mit drastischen Handlungsempfehlungen Betroffen von dem Einbruch und dem Diebstahl von Zertifikaten sind demnach alle Programme, die Anydesk herstellt, auf allen Plattformen: Android, AppleTV, iOS, Linux, macOS, Windows und so weiter. Lediglich für Windows gibt es die Software-Version 8.0.8, die mit neuem Zertifikat signiert wurde und demnach vertrauenswürdig ist. Die bislang bekannten Gefährdungspotenziale, die Anydesk selbst nennt – Man-in-the-Middle-Angriffe oder Veröffentlichen von Software mit dem kopierten Anydesk-Zertifikat –, kann das CERT-FR bislang zwar nicht bezüglich Wahrscheinlichkeit und Schwere der Ausnutzbarkeit einstufen. Die durch den Einbruch aufgerissene Schwachstelle bei Nutzern der Software könne jedoch als Einstiegspunkt in IT-Systeme dienen. CERT-FR-Empfehlungen zu Gegenmaßnahmen Organisationen sollten prüfen, ob bei ihnen Anydesk-Software läuft – das könne auch unwissentlich der Fall sein. Daher sollen IT-Verantwortliche alle Anydesk-Software außer der gesicherten Anydesk-Windows-Version 8.0.8 oder neuere von ihren Systemen entfernen. Die Behörde listet dazu Hinweise zum Aufspüren der Software auf, die den sonst bei Malware üblichen "Indicators of Compromise" (IOCs), also Hinweisen auf einen Befall, gleichen. Nach dem Verteilen der aktualisierten Software sollen IT-Verantwortliche Apps aufspüren und blockieren, die mit einem bestimmten Zertifikat signiert wurden. Außerdem sollen Admins schauen, welche Maschinen zu *.net.anydesk.com verbinden und dort nach Anydesk-signierter Software suchen. Auch Hinweise für verschiedene Betriebssysteme, wie dort etwa Standard-Pfade und Dateinamen von Anydesk-Installationen lauten, sollen bei dem Aufspüren und Entfernen der Software helfen. Als weitere Vorsichtsmaßnahme sollen auf betroffenen Maschinen Protokolldateien des Systems und von Anydesk sowie Netzwerk-Logs gesammelt und aufbewahrt werden, um für möglicherweise weitere nötige Analysen bereitzustehen. Anydesk-Einbruch bereits im vergangenen Jahr? Ein Tipp der Franzosen hat es aber in sich: "Suchen Sie nach verdächtigen Aktivitäten auf diesen Maschinen am und nach dem 20.12.2023", empfehlen die IT-Sicherheitsexperten. Dieses Datum war bislang weder vom BSI, noch von Anydesk genannt worden und deutet auf den Zeitpunkt der Netzwerk-Kompromittierung bei Anydesk weit vor dem bisher vermuteten Bereich um Mitte Januar herum. Lesen Sie auchMehr anzeigenWeniger anzeigen Die Handlungsempfehlungen der französischen Cyber-Sicherheitsbehörde sind umfangreich und gehen weiter als das, was bislang von Anydesk oder dem Bundesamt für Sicherheit in der Informationstechnik empfohlen wurde. Da sie jedoch schlüssig sind aufgrund des Gefährdungspotenzials, sollten auch Administratorinnen und Administratoren aus Deutschland, Österreich und der Schweiz diesbezüglich nicht untätig bleiben. (dmk) Zur Startseite