Objet: [MàJ] Incident affectant les solutions AnyDesk

Risque(s)

• Prise de contrôle à distance par un acteur malveillant
• Atteinte à la confidentialité des données

Systèmes affectés

[Mise à jour du 27 février 2024]

L'ensemble des logiciels produits par la société AnyDesk (Windows, linux, MacOs, Android, iOS, AppleTV, On-Premises, etc.)

• Pour Windows les versions installables et portables qui ont été signées antérieurement aux versions 8.0.8 et 7.0.15;
• Pour MacOS les versions installables qui ont été signées antérieurement aux versions 8.0.0 ;
• Pour les versions Windows clients dites « custom » ou encore employées dans le cadre de la solution « On-premise », qui n’ont pas été régénérées en 7.0.14 depuis l’espace client AnyDesk ;
• Pour les versions macOS clients dites « custom » ou encore employées dans le cadre de la solution « On-premise » qui n’ont pas été régénérées en 7.3.0 depuis l’espace client AnyDesk ;
• Pour les autres versions, l’ANSSI est dans l’attente de plus d’informations et vous invite à rester attentif aux futures communications.

Résumé

[Mise à jour du 27 février 2024]

Le 29 janvier 2024 l'ANSSI a été alertée par le BSI que l'éditeur AnyDesk Software GmbH a été victime d'une fuite de données. Le code source des applications développées par l'éditeur ainsi que des certificats et clés privées pourraient avoir été dérobés. De plus, l’éditeur indique que deux de ses serveurs relais situés en Europe ont également été affectés par cet incident.

L'éditeur est spécialisé dans le développement de solutions logicielles de bureau à distance utilisables pour l'assistance à distance des utilisateurs, l'administration de serveurs, le télétravail ou encore le rebond vers des ressources internes d'entreprise non accessibles publiquement. Les solutions AnyDesk couvrent un large spectre de systèmes d'exploitation : Linux, Windows, MacOS, Android, iOS, AppleTV, etc.

Selon l'entreprise, les données exfiltrées pourraient potentiellement être réutilisées dans le cadre d'attaques ultérieures visant les utilisateurs des solutions AnyDesk. Selon l'éditeur ces attaques sont susceptibles de :

• Viser à affaiblir la sécurité de l'infrastructure de communication entre utilisateurs AnyDesk, par exemple au travers d'attaques de type homme du milieu/attaque de l'intercepteur (Meddler in the Middle/Man in the Middle) ;
• Viser à altérer les logiciels publiés par l'entreprise ou identifiés comme produits par l'entreprise.

Le CERT-FR ne peut pas confirmer, à ce stade, la vraisemblance ou la complexité de mise en œuvre de telles attaques. Toutefois, au regard de la nature de ce type de solutions logicielles et de leurs conditions d'emploi, la compromission d'échanges entre utilisateurs ou le piégeage applicatif pourraient servir de point d'entrée vers les systèmes d'information.

Mesures conservatoires

[Mise à jour du 27 février 2024]

En attendant de disposer d'informations complémentaires, le CERT-FR recommande de mettre en œuvre les actions suivantes:

1. Identifier et référencer sur vos systèmes d'information si l'une des solutions AnyDesk est installée (ne pas oublier aussi de vérifier la flotte mobile le cas échéant) :
   • Pour aider à identifier ces machines, plusieurs méthodes sont proposées dans la section "Identifier et référencer sur vos systèmes d'informations l'emploi d'outils AnyDesk",
   • Une fois cet inventaire réalisé, mettre sous séquestre les résultats pour faciliter de potentielles futures investigations ;
2. Identifier si l'installation de cette application a été faite dans le cadre d'une activité légitime, connue et validée en interne de votre entité ;
3. Identifier le niveau de sensibilité des machines, postes, serveurs recourant à ces outils et les contraintes métier associées à leur emploi ;
4. Dans le cadre de l'appréciation des risques, identifier l'impact que pourrait avoir un scénario d'incident impliquant une potentielle compromission d'une ou plusieurs de ces machines ;
5. En fonction de votre appréciation des risques, et afin d'anticiper de potentielles futures levées de doutes, procéder et mettre sous séquestre un relevé d'investigation numérique sur l'ensemble des machines concernées :
   • Si cela ne peut être fait de façon globale, l'ANSSI recommande de commencer par les machines les plus critiques,
   • Voir la section "Collectes préventives" ;
6. En fonction de votre appréciation des risques et des contraintes métier:
   • Pour les solutions AnyDesk n’ayant pas fait l’objet de mises à jour de sécurité, envisager la désinstallation de la solution AnyDesk et l'utilisation d'une solution alternative,
   • Pour les environnements Windows et macOS, de procéder à la mise à jour de la solution AnyDesk (la mise à jour doit impérativement être téléchargée depuis le site officiel de l'éditeur https://anydesk.com),
   • Pour les autres versions, l’ANSSI est dans l’attente de plus d’informations et vous invite à rester attentif aux futures mises à jour publiées par l'éditeur,
   • Une fois le parc migré vers cette nouvelle version, et dans la mesure du possible, de détecter/bloquer toute application signée avec les certificats suivants:
     • • Pour Windows

     fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece
     serial : 0dbf152deaf0b981a8a938d53f769db8
     Valide à partir du: lundi 13 décembre 2021 01:00:00
     Valide jusqu'au: jeudi 9 janvier 2025 00:59:59
     CN = philandro Software GmbH
     O = philandro Software GmbH
     L = Stuttgart
     S = Baden-Württemberg
     C = DE

     • • Pour macOS

     fingerprint : 4a1dfb9aa37809b3a123e0ac750bf370469ebaeb
     serial : 2379881731619607111 (0x210709d364a0d247)
     Valide à partir du: mardi 8 juin 2021 11:04:30
     Valide jusqu'au: mardi 9 juin 2026 11:04:29
     CN = Developer ID Application: philandro Software GmbH (KU6W3B6JMZ)
     OU = KU6W3B6JMZ
     O = philandro Software GmbH
     C = DE

7. Procéder au renouvellement de l’ensemble des mots de passe servant aux connexions aux instances applicatives AnyDesk
8. Rechercher toute activité suspecte sur et à l'origine de ces machines à compter du 20/12/2023
   • En cas de doute, faire appel à un prestataire qualifié de réponse aux incidents de sécurité (PRIS)

Identifier et référencer l'emploi d'outils Anydesk au sein du système d'information

Pour identifier quelles machines sont susceptibles de recourir à la solution AnyDesk, il est possible de combiner plusieurs méthodes:

Au niveau réseau

Au niveau réseau, identifier toute machine établissant des connexions vers:

*.net.anydesk.com

Au niveau système

Un seul de ces observables peut indiquer la présence d'Anydesk

Windows

Il est possible de s'appuyer sur l'outil FastFind de l'ANSSI qui est joint à cette publication et de le passer sur les parcs Windows. Celui-ci reprend notamment les éléments ci-dessous qui peuvent également être recherchés via les éventuels outils existants au sein des SI (Par ex. outils d'inventaires de parc, EDR, etc.).

Télécharger l'outil FastFind

La présence d'un des fichiers suivants:

• C:\Program Files (x86)\AnyDesk\AnyDesk.exe

• %PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\AnyDesk.lnk

• C:\Windows\Prefetch\ANYDESK.EXE-[A-F0-9]{8}.pf

(Pour rappel il existe également une version portable de l'application)

Il est possible également de vérifier la présence des clés de registre suivantes:

• HKLM\SYSTEM\ControlSet001\Services\AnyDesk

• HKLM\SOFTWARE\Clients\Media\AnyDesk

• HKLM\SOFTWARE\Classes\.anydesk\shell\open\command

Dans les journaux Windows rechercher l'événement de création de service 7045 ci-dessous:

ImagePath:"C:\\Program Files (x86)\\AnyDesk\\AnyDesk.exe" –service
ServiceName:"AnyDesk Service"
ServiceType:"service en mode utilisateur",
StartType:"Démarrage automatique"

Tous les logiciels signés avec le certificat

fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece
serial : 0dbf152deaf0b981a8a938d53f769db8
lundi 13 décembre 2021 01:00:00
jeudi 9 janvier 2025 00:59:59
CN = philandro Software GmbH
O = philandro Software GmbH
L = Stuttgart
S = Baden-Württemberg
C = DE

Linux

La présence d'un des fichiers suivants :

• /etc/systemd/system/anydesk.service

• /usr/bin/anydesk

• /usr/lib64/anydesk

• /usr/libexec/anydesk

• /usr/bin/anydesk

• /home/*/.anydesk/

MacOS

La présence d'un des fichiers suivants :

• ~/.anydesk/system.conf

• ~/.anydesk/service.conf

• ~/.anydesk/user.conf

Et la présence de l'application

/Applications/Anydesk.app/

Collectes préventives

Une fois l'inventaire réalisé et afin, dans la mesure du possible, de faciliter de potentielles futures levées de doutes, l'ANSSI recommande de mettre sous séquestre a minima les éléments ci-dessous, avant de procéder à la montée de version de l'application. Puis en cas de suspicion de procéder à leur analyse.

Journaux à collecter

• journaux système des machines concernées ;
• journaux applicatifs des solutions AnyDesk ;
  • journaux spécifiques à l'application pour un environnement Windows

    • %APPDATA%\AnyDesk\ad.trace # log interface utilisateur

    • %PROGRAMDATA%\AnyDesk\ad_svc.trace # logs de service

    • %PROGRAMDATA%\AnyDesk\connection_trace.txt # logs des connexions entrantes

  • journaux spécifiques à l'application pour un environnement Linux

    • /home/*/.anydesk/.anydesk.trace

    • /home/*/.anydesk/anydesk.trace

    • /root/*/.anydesk/.anydesk.trace

    • /root/*/.anydesk/anydesk.trace

    • /var/log/anydesk.trace

    • /etc/anydesk/connection_trace.txt

  • journaux spécifiques à l'application pour un environnement MacOS

    • ~/.anydesk/anydesk.trace

    • ~/.anydesk/connection_trace.txt

• journaux réseau en lien avec les machines concernées.

 

Documentation

• Communiqué de l'éditeur AnyDesk du 2 février 2024
  https://anydesk.com/en/public-statement
• Les bons réflexes en cas d'intrusion
  https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/