L'ensemble des logiciels produits par la société AnyDesk (Windows, linux, MacOs, Android, iOS, AppleTV, On-Premises, etc.)
Résumé
[Mise à jour du 27 février 2024]
Le 29 janvier 2024 l'ANSSI a été alertée par le BSI que l'éditeur
AnyDesk Software GmbH a été victime d'une fuite de données. Le code
source des applications développées par l'éditeur ainsi que des
certificats et clés privées pourraient avoir été dérobés. De plus, l’éditeur indique que deux de ses
serveurs relais situés en Europe ont également été affectés par cet
incident.
L'éditeur est spécialisé dans le développement de solutions logicielles
de bureau à distance utilisables pour l'assistance à distance des
utilisateurs, l'administration de serveurs, le télétravail ou encore le
rebond vers des ressources internes d'entreprise non accessibles
publiquement. Les solutions AnyDesk couvrent un large spectre de
systèmes d'exploitation : Linux, Windows, MacOS, Android, iOS, AppleTV,
etc.
Selon l'entreprise, les données exfiltrées pourraient potentiellement
être réutilisées dans le cadre d'attaques ultérieures visant les
utilisateurs des solutions AnyDesk. Selon l'éditeur ces attaques sont
susceptibles de :
- Viser à affaiblir la sécurité de l'infrastructure de communication
entre utilisateurs AnyDesk, par exemple au travers d'attaques de
type homme du milieu/attaque de l'intercepteur (Meddler in the
Middle/Man in the Middle) ;
- Viser à altérer les logiciels publiés par l'entreprise ou identifiés
comme produits par l'entreprise.
Le CERT-FR ne peut pas confirmer, à ce stade, la vraisemblance ou la
complexité de mise en œuvre de telles attaques. Toutefois, au regard de
la nature de ce type de solutions logicielles et de leurs conditions
d'emploi, la compromission d'échanges entre utilisateurs ou le piégeage
applicatif pourraient servir de point d'entrée vers les systèmes
d'information.
Mesures conservatoires
[Mise à jour du 27 février 2024]
En attendant de disposer d'informations complémentaires, le CERT-FR
recommande de mettre en œuvre les actions suivantes:
-
Identifier et référencer sur vos systèmes d'information si l'une des
solutions AnyDesk est installée (ne pas oublier aussi de vérifier la
flotte mobile le cas échéant) :
- Pour aider à identifier ces machines, plusieurs méthodes sont
proposées dans la section "Identifier et référencer sur vos
systèmes d'informations l'emploi d'outils AnyDesk",
- Une fois cet inventaire réalisé, mettre sous séquestre les
résultats pour faciliter de potentielles futures
investigations ;
- Identifier si l'installation de cette application a été faite dans
le cadre d'une activité légitime, connue et validée en interne de
votre entité ;
- Identifier le niveau de sensibilité des machines, postes, serveurs
recourant à ces outils et les contraintes métier associées à leur
emploi ;
- Dans le cadre de l'appréciation des risques, identifier l'impact que
pourrait avoir un scénario d'incident impliquant une potentielle
compromission d'une ou plusieurs de ces machines ;
-
En fonction de votre appréciation des risques, et afin d'anticiper
de potentielles futures levées de doutes, procéder et mettre sous
séquestre un relevé d'investigation numérique sur l'ensemble des
machines concernées :
- Si cela ne peut être fait de façon globale, l'ANSSI recommande
de commencer par les machines les plus critiques,
- Voir la section "Collectes préventives" ;
-
En fonction de votre appréciation des risques et des contraintes
métier:
-
Pour les solutions AnyDesk n’ayant
pas fait l’objet de mises à jour de sécurité, envisager la
désinstallation de la solution AnyDesk et l'utilisation d'une
solution alternative,
-
Pour les environnements Windows et
macOS, de procéder à la mise à jour de la solution AnyDesk (la
mise à jour doit impérativement être téléchargée depuis le site
officiel de l'éditeur https://anydesk.com),
-
Pour les autres versions, l’ANSSI est dans l’attente de plus
d’informations et vous invite à rester attentif aux futures
mises à jour publiées par l'éditeur,
-
Une fois le parc migré vers cette nouvelle version, et dans la
mesure du possible, de détecter/bloquer toute application signée
avec les certificats suivants:
fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece
serial : 0dbf152deaf0b981a8a938d53f769db8
Valide à partir du: lundi 13 décembre 2021 01:00:00
Valide jusqu'au: jeudi 9 janvier 2025 00:59:59
CN = philandro Software GmbH
O = philandro Software GmbH
L = Stuttgart
S = Baden-Württemberg
C = DE
fingerprint : 4a1dfb9aa37809b3a123e0ac750bf370469ebaeb
serial : 2379881731619607111 (0x210709d364a0d247)
Valide à partir du: mardi 8 juin 2021 11:04:30
Valide jusqu'au: mardi 9 juin 2026 11:04:29
CN = Developer ID Application: philandro Software GmbH (KU6W3B6JMZ)
OU = KU6W3B6JMZ
O = philandro Software GmbH
C = DE
- Procéder au renouvellement de
l’ensemble des mots de passe servant aux connexions aux instances
applicatives AnyDesk
-
Rechercher toute activité suspecte sur et à l'origine de ces
machines à compter du 20/12/2023
- En cas de doute, faire appel à un prestataire qualifié de
réponse aux incidents de sécurité (PRIS)
Identifier et référencer l'emploi d'outils Anydesk au sein du système d'information
Pour identifier quelles machines sont susceptibles de recourir à la
solution AnyDesk, il est possible de combiner plusieurs méthodes:
Au niveau réseau
Au niveau réseau, identifier toute machine établissant des connexions
vers:
*.net.anydesk.com
Au niveau système
Un seul de ces observables peut indiquer la présence d'Anydesk
Windows
Il est possible de s'appuyer sur l'outil FastFind de l'ANSSI qui est
joint à cette publication et de le passer sur les parcs Windows.
Celui-ci reprend notamment les éléments ci-dessous qui peuvent également
être recherchés via les éventuels outils existants au sein des SI (Par
ex. outils d'inventaires de parc, EDR, etc.).
Télécharger
l'outil
FastFind
La présence d'un des fichiers suivants:
-
C:\Program Files (x86)\AnyDesk\AnyDesk.exe
-
%PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\AnyDesk.lnk
-
C:\Windows\Prefetch\ANYDESK.EXE-[A-F0-9]{8}.pf
(Pour rappel il existe également une version portable de l'application)
Il est possible également de vérifier la présence des clés de registre
suivantes:
-
HKLM\SYSTEM\ControlSet001\Services\AnyDesk
-
HKLM\SOFTWARE\Clients\Media\AnyDesk
-
HKLM\SOFTWARE\Classes\.anydesk\shell\open\command
Dans les journaux Windows rechercher l'événement de création de service
7045 ci-dessous:
ImagePath:"C:\\Program Files (x86)\\AnyDesk\\AnyDesk.exe" –service
ServiceName:"AnyDesk Service"
ServiceType:"service en mode utilisateur",
StartType:"Démarrage automatique"
Tous les logiciels signés avec le certificat
fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece
serial : 0dbf152deaf0b981a8a938d53f769db8
lundi 13 décembre 2021 01:00:00
jeudi 9 janvier 2025 00:59:59
CN = philandro Software GmbH
O = philandro Software GmbH
L = Stuttgart
S = Baden-Württemberg
C = DE
Linux
La présence d'un des fichiers suivants :
MacOS
La présence d'un des fichiers suivants :
-
~/.anydesk/system.conf
-
~/.anydesk/service.conf
-
~/.anydesk/user.conf
Et la présence de l'application
/Applications/Anydesk.app/
Collectes préventives
Une fois l'inventaire réalisé et afin, dans la mesure du possible, de
faciliter de potentielles futures levées de doutes, l'ANSSI recommande
de mettre sous séquestre a minima les éléments ci-dessous, avant de
procéder à la montée de version de l'application. Puis en cas de
suspicion de procéder à leur analyse.
Journaux à collecter
- journaux système des machines concernées ;
-
journaux applicatifs des solutions AnyDesk ;
-
journaux spécifiques à l'application pour un environnement
Windows
-
%APPDATA%\AnyDesk\ad.trace # log interface utilisateur
-
%PROGRAMDATA%\AnyDesk\ad_svc.trace # logs de service
-
%PROGRAMDATA%\AnyDesk\connection_trace.txt # logs des connexions entrantes
-
journaux spécifiques à l'application pour un environnement Linux
-
/home/*/.anydesk/.anydesk.trace
-
/home/*/.anydesk/anydesk.trace
-
/root/*/.anydesk/.anydesk.trace
-
/root/*/.anydesk/anydesk.trace
-
/var/log/anydesk.trace
-
/etc/anydesk/connection_trace.txt
-
journaux spécifiques à l'application pour un environnement MacOS
- journaux réseau en lien avec les machines concernées.