AnyDesk bestätigte heute, dass es kürzlich Opfer eines Cyberangriffs wurde, der Hackern Zugriff auf die Produktionssysteme des Unternehmens ermöglichte. BleepingComputer hat erfahren, dass während des Angriffs Quellcode und private Code-Signaturschlüssel gestohlen wurden.
AnyDesk ist eine Fernzugriffslösung, die Benutzern den Fernzugriff auf Computer über ein Netzwerk oder das Internet ermöglicht. Das Programm ist bei Unternehmen sehr beliebt, die es für den Fernsupport oder den Zugriff auf Colocation-Server verwenden.
Die Software ist auch bei Bedrohungsakteuren beliebt, die sie für den dauerhaften Zugriff auf gehackte Geräte und Netzwerke verwenden .
Das Unternehmen hat nach eigenen Angaben 170.000 Kunden, darunter 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS und die Vereinten Nationen.
AnyDesk gehackt
In einer Erklärung, die BleepingComputer am späten Freitagnachmittag vorlag, gab AnyDesk an, dass sie von dem Angriff erst erfahren hätten, nachdem sie Hinweise auf einen Vorfall auf ihren Produktionsservern entdeckt hätten.
Nach der Durchführung eines Sicherheitsaudits stellten sie fest, dass ihre Systeme kompromittiert waren, und aktivierten mit Hilfe des Cybersicherheitsunternehmens CrowdStrike einen Reaktionsplan.
AnyDesk gab keine Details darüber bekannt, ob während des Angriffs Daten gestohlen wurden. BleepingComputer hat jedoch erfahren, dass die Angreifer Quellcode und Codesignaturzertifikate gestohlen haben.
Das Unternehmen bestätigte außerdem, dass kein Ransomware-Angriff im Spiel war, gab aber außer der Mitteilung, dass seine Server gehackt worden seien, nicht allzu viele Informationen über den Angriff preis. Die Meldung konzentrierte sich hauptsächlich auf die Reaktion des Unternehmens auf den Vorfall.
Als Teil ihrer Reaktion erklärte AnyDesk, dass sie sicherheitsrelevante Zertifikate widerrufen und Systeme nach Bedarf repariert oder ersetzt hätten. Sie versicherten den Kunden außerdem, dass die Nutzung von AnyDesk sicher sei und dass es keine Hinweise darauf gebe, dass Endgeräte von dem Vorfall betroffen seien.
„Wir können bestätigen, dass die Situation unter Kontrolle ist und die Nutzung von AnyDesk sicher ist. Bitte stellen Sie sicher, dass Sie die neueste Version mit dem neuen Codesignaturzertifikat verwenden“, erklärte AnyDesk in einer öffentlichen Erklärung .
Das Unternehmen gibt an, dass keine Authentifizierungstoken gestohlen wurden, doch aus Vorsicht widerruft AnyDesk alle Passwörter für sein Webportal und empfiehlt, das Passwort zu ändern, wenn es auf anderen Websites verwendet wird.
„AnyDesk ist so konzipiert, dass Sitzungsauthentifizierungstoken nicht gestohlen werden können. Sie existieren nur auf dem Gerät des Endbenutzers und sind mit dem Gerätefingerabdruck verknüpft. Diese Token berühren niemals unsere Systeme“, erklärte AnyDesk gegenüber BleepingComputer als Antwort auf unsere Fragen zum Angriff.
„Wir haben keine Hinweise auf ein Session Hijacking, da dies unseres Wissens nach nicht möglich ist.“
Das Unternehmen hat bereits damit begonnen, gestohlene Code Signing-Zertifikate zu ersetzen. Günter Born von BornCity berichtete erstmals , dass sie in der am 29. Januar veröffentlichten Version 8.0.8 von AnyDesk ein neues Zertifikat verwenden. Die einzige aufgeführte Änderung in der neuen Version ist, dass das Unternehmen auf ein neues Code Signing-Zertifikat umgestiegen ist und das alte bald widerrufen wird.
BleepingComputer hat sich frühere Versionen der Software angesehen und festgestellt, dass die älteren ausführbaren Dateien unter dem Namen „philandro Software GmbH“ mit der Seriennummer 0dbf152deaf0b981a8a938d53f769db8 signiert waren. Die neue Version ist nun unter dem Namen „AnyDesk Software GmbH“ mit der Seriennummer 0a8177fcd8936a91b5e0eddf995b0ba5 signiert, wie unten dargestellt.
Zertifikate werden normalerweise nicht für ungültig erklärt, es sei denn, sie wurden kompromittiert, z. B. durch Diebstahl bei Angriffen oder öffentliche Zugänglichkeit.
Während AnyDesk nicht bekannt gab, wann sich der Verstoß ereignete, berichtete Born, dass es ab dem 29. Januar zu einem viertägigen Ausfall bei AnyDesk kam, während dessen das Unternehmen die Möglichkeit zur Anmeldung beim AnyDesk-Client deaktivierte.
„my.anydesk II wird derzeit gewartet, was voraussichtlich die nächsten 48 Stunden oder weniger dauern wird“, heißt es auf der Statusmeldungsseite von AnyDesk .
„Sie können weiterhin normal auf Ihr Konto zugreifen und es verwenden. Die Anmeldung beim AnyDesk-Client wird wiederhergestellt, sobald die Wartung abgeschlossen ist.“
Gestern wurde der Zugriff wiederhergestellt und Benutzer konnten sich bei ihren Konten anmelden. AnyDesks gab in den Statusaktualisierungen jedoch keinen Grund für die Wartung an.
AnyDesks hat gegenüber BleepingComputer jedoch bestätigt, dass diese Wartung im Zusammenhang mit dem Cybersicherheitsvorfall steht.
Es wird allen Benutzern dringend empfohlen, auf die neue Version der Software umzusteigen, da das alte Code Signing-Zertifikat in Kürze widerrufen wird.
Obwohl AnyDesks angibt, dass bei dem Angriff keine Passwörter gestohlen wurden, haben die Angreifer dennoch Zugriff auf Produktionssysteme erhalten. Daher wird allen AnyDesk-Benutzern dringend empfohlen, ihre Passwörter zu ändern. Wenn sie ihr AnyDesk-Passwort auf anderen Websites verwenden, sollten sie es auch dort ändern instagram search.
Gefühlt erfahren wir jede Woche von einem neuen Datendiebstahl bei namhaften Unternehmen.
Gestern Abend gab Cloudflare bekannt, dass es an Thanksgiving mit Authentifizierungsschlüsseln gehackt wurde, die beim Okta-Cyberangriff im letzten Jahr gestohlen wurden .
Letzte Woche gab Microsoft außerdem bekannt, dass das Unternehmen von einem vom russischen Staat gesponserten Hacker namens Midnight Blizzard gehackt worden sei, der im Mai auch HPE angegriffen hatte .