L'ensemble des logiciels produits par la soci\u00e9t\u00e9 AnyDesk (Windows, linux, MacOs, Android, iOS, AppleTV, On-Premises, etc.)
Pour Windows les versions installables et portables qui ont \u00e9t\u00e9 sign\u00e9es ant\u00e9rieurement aux versions 8.0.8 et 7.0.15;
Pour MacOS les versions installables qui ont \u00e9t\u00e9 sign\u00e9es ant\u00e9rieurement aux versions 8.0.0 ;
Pour les versions Windows clients dites \u00ab\u00a0custom\u00a0\u00bb ou encore employ\u00e9es dans le cadre de la solution \u00ab\u00a0On-premise\u00a0\u00bb, qui n\u2019ont pas \u00e9t\u00e9 r\u00e9g\u00e9n\u00e9r\u00e9es en 7.0.14 depuis l\u2019espace client AnyDesk ;
Pour les versions macOS clients dites \u00ab\u00a0custom\u00a0\u00bb ou encore employ\u00e9es dans le cadre de la solution \u00ab\u00a0On-premise\u00a0\u00bb qui n\u2019ont pas \u00e9t\u00e9 r\u00e9g\u00e9n\u00e9r\u00e9es en 7.3.0 depuis l\u2019espace client AnyDesk ;
Pour les autres versions, l\u2019ANSSI est dans l\u2019attente de plus d\u2019informations et vous invite \u00e0 rester attentif aux futures communications.
","closed_at":"2024-04-15","content":"","cves":[],"links":[{"title":"Communiqu\u00e9 de l'\u00e9diteur AnyDesk du 2 f\u00e9vrier 2024","url":"https://anydesk.com/en/public-statement"},{"title":"Les bons r\u00e9flexes en cas d'intrusion","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"}],"reference":"CERTFR-2024-ALE-003","revisions":[{"description":"Version initiale","revision_date":"2024-02-05T00:00:00.000000"},{"description":"Prise en compte des derniers communiqu\u00e9s de l'\u00e9diteur","revision_date":"2024-02-27T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2024-04-15T00:00:00.000000"}],"risks":[{"description":"Prise de contr\u00f4le \u00e0 distance par un acteur malveillant"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"\\[Mise \u00e0 jour du 27 f\u00e9vrier 2024\\]\n\n\nLe 29 janvier 2024 l'ANSSI a \u00e9t\u00e9 alert\u00e9e par le BSI que l'\u00e9diteur\nAnyDesk Software GmbH a \u00e9t\u00e9 victime d'une fuite de donn\u00e9es. Le code\nsource des applications d\u00e9velopp\u00e9es par l'\u00e9diteur ainsi que des\ncertificats et cl\u00e9s priv\u00e9es pourraient avoir \u00e9t\u00e9 d\u00e9rob\u00e9s. De plus, l\u2019\u00e9diteur indique que deux de ses\nserveurs relais situ\u00e9s en Europe ont \u00e9galement \u00e9t\u00e9 affect\u00e9s par cet\nincident.\n\nL'\u00e9diteur est sp\u00e9cialis\u00e9 dans le d\u00e9veloppement de solutions logicielles\nde bureau \u00e0 distance utilisables pour l'assistance \u00e0 distance des\nutilisateurs, l'administration de serveurs, le t\u00e9l\u00e9travail ou encore le\nrebond vers des ressources internes d'entreprise non accessibles\npubliquement. Les solutions AnyDesk couvrent un large spectre de\nsyst\u00e8mes d'exploitation : Linux, Windows, MacOS, Android, iOS, AppleTV,\netc.\n\nSelon l'entreprise, les donn\u00e9es exfiltr\u00e9es pourraient potentiellement\n\u00eatre r\u00e9utilis\u00e9es dans le cadre d'attaques ult\u00e9rieures visant les\nutilisateurs des solutions AnyDesk. Selon l'\u00e9diteur ces attaques sont\nsusceptibles de :\n\n- Viser \u00e0 affaiblir la s\u00e9curit\u00e9 de l'infrastructure de communication\n entre utilisateurs AnyDesk, par exemple au travers d'attaques de\n type homme du milieu/attaque de l'intercepteur (Meddler in the\n Middle/Man in the Middle) ;\n- Viser \u00e0 alt\u00e9rer les logiciels publi\u00e9s par l'entreprise ou identifi\u00e9s\n comme produits par l'entreprise.\n\nLe CERT-FR ne peut pas confirmer, \u00e0 ce stade, la vraisemblance ou la\ncomplexit\u00e9 de mise en \u0153uvre de telles attaques. Toutefois, au regard de\nla nature de ce type de solutions logicielles et de leurs conditions\nd'emploi, la compromission d'\u00e9changes entre utilisateurs ou le pi\u00e9geage\napplicatif pourraient servir de point d'entr\u00e9e vers les syst\u00e8mes\nd'information.\n\n## Mesures conservatoires\n\n\\[Mise \u00e0 jour du 27 f\u00e9vrier 2024\\]\n\n\nEn attendant de disposer d'informations compl\u00e9mentaires, le CERT-FR\nrecommande de mettre en \u0153uvre les actions suivantes:\n\n1. Identifier et r\u00e9f\u00e9rencer sur vos syst\u00e8mes d'information si l'une des\n solutions AnyDesk est install\u00e9e (ne pas oublier aussi de v\u00e9rifier la\n flotte mobile le cas \u00e9ch\u00e9ant)\u00a0:\n - Pour aider \u00e0 identifier ces machines, plusieurs m\u00e9thodes sont\n propos\u00e9es dans la section \"Identifier et r\u00e9f\u00e9rencer sur vos\n syst\u00e8mes d'informations l'emploi d'outils AnyDesk\",\n - Une fois cet inventaire r\u00e9alis\u00e9, mettre sous s\u00e9questre les\n r\u00e9sultats pour faciliter de potentielles futures\n investigations\u00a0;\n2. Identifier si l'installation de cette application a \u00e9t\u00e9 faite dans\n le cadre d'une activit\u00e9 l\u00e9gitime, connue et valid\u00e9e en interne de\n votre entit\u00e9\u00a0;\n3. Identifier le niveau de sensibilit\u00e9 des machines, postes, serveurs\n recourant \u00e0 ces outils et les contraintes m\u00e9tier associ\u00e9es \u00e0 leur\n emploi\u00a0;\n4. Dans le cadre de l'appr\u00e9ciation des risques, identifier l'impact que\n pourrait avoir un sc\u00e9nario d'incident impliquant une potentielle\n compromission d'une ou plusieurs de ces machines\u00a0;\n5. En fonction de votre appr\u00e9ciation des risques, et afin d'anticiper\n de potentielles futures lev\u00e9es de doutes, proc\u00e9der et mettre sous\n s\u00e9questre un relev\u00e9 d'investigation num\u00e9rique sur l'ensemble des\n machines concern\u00e9es\u00a0:\n - Si cela ne peut \u00eatre fait de fa\u00e7on globale, l'ANSSI recommande\n de commencer par les machines les plus critiques,\n - Voir la section \"Collectes pr\u00e9ventives\"\u00a0;\n6. En fonction de votre appr\u00e9ciation des risques et des contraintes\n m\u00e9tier:\n - Pour les solutions AnyDesk n\u2019ayant\n pas fait l\u2019objet de mises \u00e0 jour de s\u00e9curit\u00e9, envisager la\n d\u00e9sinstallation de la solution AnyDesk et l'utilisation d'une\n solution alternative,\n\n - Pour les environnements Windows et\n macOS, de proc\u00e9der \u00e0 la mise \u00e0 jour de la solution AnyDesk (la\n mise \u00e0 jour doit imp\u00e9rativement \u00eatre t\u00e9l\u00e9charg\u00e9e depuis le site\n officiel de l'\u00e9diteur https://anydesk.com),\n\n - Pour les autres versions, l\u2019ANSSI est dans l\u2019attente de plus\n d\u2019informations et vous invite \u00e0 rester attentif aux futures\n mises \u00e0 jour publi\u00e9es par l'\u00e9diteur,\n\n - Une fois le parc migr\u00e9 vers cette nouvelle version, et dans la\n mesure du possible, de d\u00e9tecter/bloquer toute application sign\u00e9e\n avec les certificats suivants:\n\n - Pour Windows\n\n ```\n fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece\n serial : 0dbf152deaf0b981a8a938d53f769db8\n Valide \u00e0 partir du: lundi 13 d\u00e9cembre 2021 01:00:00\n Valide jusqu'au: jeudi 9 janvier 2025 00:59:59\n CN = philandro Software GmbH\n O = philandro Software GmbH\n L = Stuttgart\n S = Baden-W\u00fcrttemberg\n C = DE\n ```\n\n - Pour macOS\n\n ```\n fingerprint : 4a1dfb9aa37809b3a123e0ac750bf370469ebaeb\n serial : 2379881731619607111 (0x210709d364a0d247)\n Valide \u00e0 partir du: mardi 8 juin 2021 11:04:30\n Valide jusqu'au: mardi 9 juin 2026 11:04:29\n CN = Developer ID Application: philandro Software GmbH (KU6W3B6JMZ)\n OU = KU6W3B6JMZ\n O = philandro Software GmbH\n C = DE\n ```\n7. Proc\u00e9der au renouvellement de\n l\u2019ensemble des mots de passe servant aux connexions aux instances\n applicatives AnyDesk\n8. Rechercher toute activit\u00e9 suspecte sur et \u00e0 l'origine de ces\n machines \u00e0 compter du 20/12/2023\n - En cas de doute, faire appel \u00e0 un prestataire qualifi\u00e9 de\n r\u00e9ponse aux incidents de s\u00e9curit\u00e9 (PRIS)\n\n## Identifier et r\u00e9f\u00e9rencer l'emploi d'outils Anydesk au sein du syst\u00e8me d'information\n\nPour identifier quelles machines sont susceptibles de recourir \u00e0 la\nsolution AnyDesk, il est possible de combiner plusieurs m\u00e9thodes:\n\n### Au niveau r\u00e9seau\n\nAu niveau r\u00e9seau, identifier toute machine \u00e9tablissant des connexions\nvers:\n\n *.net.anydesk.com\n\n### Au niveau syst\u00e8me\n\nUn seul de ces observables peut indiquer la pr\u00e9sence d'Anydesk\n\n#### Windows\n\nIl est possible de s'appuyer sur l'outil FastFind de l'ANSSI qui est\njoint \u00e0 cette publication et de le passer sur les parcs Windows.\nCelui-ci reprend notamment les \u00e9l\u00e9ments ci-dessous qui peuvent \u00e9galement\n\u00eatre recherch\u00e9s via les \u00e9ventuels outils existants au sein des SI (Par\nex. outils d'inventaires de parc, EDR, etc.).\n\n[T\u00e9l\u00e9charger\nl'outil\nFastFind](/uploads/20240205_AnyDesk-CERT-FR_TLP_CLEAR.zip)\n\nLa pr\u00e9sence d'un des fichiers suivants:\n\n- ```C:\\Program Files (x86)\\AnyDesk\\AnyDesk.exe```\n\n- ```%PROGRAMDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\AnyDesk.lnk```\n\n- ```C:\\Windows\\Prefetch\\ANYDESK.EXE-[A-F0-9]{8}.pf```\n\n(Pour rappel il existe \u00e9galement une version portable de l'application)\n\nIl est possible \u00e9galement de v\u00e9rifier la pr\u00e9sence des cl\u00e9s de registre\nsuivantes:\n\n- ```HKLM\\SYSTEM\\ControlSet001\\Services\\AnyDesk```\n\n- ```HKLM\\SOFTWARE\\Clients\\Media\\AnyDesk```\n\n- ```HKLM\\SOFTWARE\\Classes\\.anydesk\\shell\\open\\command```\n\nDans les journaux Windows rechercher l'\u00e9v\u00e9nement de cr\u00e9ation de service\n7045 ci-dessous:\n```\n ImagePath:\"C:\\\\Program Files (x86)\\\\AnyDesk\\\\AnyDesk.exe\" \u2013service\n ServiceName:\"AnyDesk Service\"\n ServiceType:\"service en mode utilisateur\",\n StartType:\"D\u00e9marrage automatique\"\n```\nTous les logiciels sign\u00e9s avec le certificat\n```\n fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece\n serial : 0dbf152deaf0b981a8a938d53f769db8\n lundi 13 d\u00e9cembre 2021 01:00:00\n jeudi 9 janvier 2025 00:59:59\n CN = philandro Software GmbH\n O = philandro Software GmbH\n L = Stuttgart\n S = Baden-W\u00fcrttemberg\n C = DE\n```\n##### \n\n#### Linux\n\nLa pr\u00e9sence d'un des fichiers suivants :\n\n- ```/etc/systemd/system/anydesk.service```\n\n- ```/usr/bin/anydesk```\n\n- ```/usr/lib64/anydesk```\n\n- ```/usr/libexec/anydesk```\n\n- ```/usr/bin/anydesk```\n\n- ```/home/*/.anydesk/```\n\n##### \n\n#### MacOS\n\nLa pr\u00e9sence d'un des fichiers suivants :\n\n- ```~/.anydesk/system.conf```\n\n- ```~/.anydesk/service.conf```\n\n- ```~/.anydesk/user.conf```\n\nEt la pr\u00e9sence de l'application\n\n /Applications/Anydesk.app/\n\n##### \n\n#### \n\n## Collectes pr\u00e9ventives\n\nUne fois l'inventaire r\u00e9alis\u00e9 et afin, dans la mesure du possible, de\nfaciliter de potentielles futures lev\u00e9es de doutes, l'ANSSI recommande\nde mettre sous s\u00e9questre a minima les \u00e9l\u00e9ments ci-dessous, avant de\nproc\u00e9der \u00e0 la mont\u00e9e de version de l'application. Puis en cas de\nsuspicion de proc\u00e9der \u00e0 leur analyse.\n\n### Journaux \u00e0 collecter\n\n- journaux syst\u00e8me des machines concern\u00e9es ;\n- journaux applicatifs des solutions AnyDesk ;\n - journaux sp\u00e9cifiques \u00e0 l'application pour un environnement\n Windows\n - ```%APPDATA%\\AnyDesk\\ad.trace # log interface utilisateur```\n\n - ```%PROGRAMDATA%\\AnyDesk\\ad_svc.trace # logs de service```\n\n - ```%PROGRAMDATA%\\AnyDesk\\connection_trace.txt # logs des connexions entrantes```\n - journaux sp\u00e9cifiques \u00e0 l'application pour un environnement Linux\n - ```/home/*/.anydesk/.anydesk.trace```\n\n - ```/home/*/.anydesk/anydesk.trace```\n\n - ``` /root/*/.anydesk/.anydesk.trace```\n\n - ``` /root/*/.anydesk/anydesk.trace```\n\n - ```/var/log/anydesk.trace```\n\n - ```/etc/anydesk/connection_trace.txt```\n - journaux sp\u00e9cifiques \u00e0 l'application pour un environnement MacOS\n - ```~/.anydesk/anydesk.trace```\n\n - ```~/.anydesk/connection_trace.txt```\n- journaux r\u00e9seau en lien avec les machines concern\u00e9es.\n\n\u00a0\n","title":"[M\u00e0J] Incident affectant les solutions AnyDesk","vendor_advisories":[]}