CERTFR-2024-ALE-003

Vulnerability from certfr_alerte - Published: - Updated:

[Mise à jour du 27 février 2024]

Le 29 janvier 2024 l'ANSSI a été alertée par le BSI que l'éditeur AnyDesk Software GmbH a été victime d'une fuite de données. Le code source des applications développées par l'éditeur ainsi que des certificats et clés privées pourraient avoir été dérobés. De plus, l’éditeur indique que deux de ses serveurs relais situés en Europe ont également été affectés par cet incident.

L'éditeur est spécialisé dans le développement de solutions logicielles de bureau à distance utilisables pour l'assistance à distance des utilisateurs, l'administration de serveurs, le télétravail ou encore le rebond vers des ressources internes d'entreprise non accessibles publiquement. Les solutions AnyDesk couvrent un large spectre de systèmes d'exploitation : Linux, Windows, MacOS, Android, iOS, AppleTV, etc.

Selon l'entreprise, les données exfiltrées pourraient potentiellement être réutilisées dans le cadre d'attaques ultérieures visant les utilisateurs des solutions AnyDesk. Selon l'éditeur ces attaques sont susceptibles de :

  • Viser à affaiblir la sécurité de l'infrastructure de communication entre utilisateurs AnyDesk, par exemple au travers d'attaques de type homme du milieu/attaque de l'intercepteur (Meddler in the Middle/Man in the Middle) ;
  • Viser à altérer les logiciels publiés par l'entreprise ou identifiés comme produits par l'entreprise.

Le CERT-FR ne peut pas confirmer, à ce stade, la vraisemblance ou la complexité de mise en œuvre de telles attaques. Toutefois, au regard de la nature de ce type de solutions logicielles et de leurs conditions d'emploi, la compromission d'échanges entre utilisateurs ou le piégeage applicatif pourraient servir de point d'entrée vers les systèmes d'information.

Mesures conservatoires

[Mise à jour du 27 février 2024]

En attendant de disposer d'informations complémentaires, le CERT-FR recommande de mettre en œuvre les actions suivantes:

  1. Identifier et référencer sur vos systèmes d'information si l'une des solutions AnyDesk est installée (ne pas oublier aussi de vérifier la flotte mobile le cas échéant) :
    • Pour aider à identifier ces machines, plusieurs méthodes sont proposées dans la section "Identifier et référencer sur vos systèmes d'informations l'emploi d'outils AnyDesk",
    • Une fois cet inventaire réalisé, mettre sous séquestre les résultats pour faciliter de potentielles futures investigations ;
  2. Identifier si l'installation de cette application a été faite dans le cadre d'une activité légitime, connue et validée en interne de votre entité ;
  3. Identifier le niveau de sensibilité des machines, postes, serveurs recourant à ces outils et les contraintes métier associées à leur emploi ;
  4. Dans le cadre de l'appréciation des risques, identifier l'impact que pourrait avoir un scénario d'incident impliquant une potentielle compromission d'une ou plusieurs de ces machines ;
  5. En fonction de votre appréciation des risques, et afin d'anticiper de potentielles futures levées de doutes, procéder et mettre sous séquestre un relevé d'investigation numérique sur l'ensemble des machines concernées :
    • Si cela ne peut être fait de façon globale, l'ANSSI recommande de commencer par les machines les plus critiques,
    • Voir la section "Collectes préventives" ;

  6. En fonction de votre appréciation des risques et des contraintes métier:

    • Pour les solutions AnyDesk n’ayant pas fait l’objet de mises à jour de sécurité, envisager la désinstallation de la solution AnyDesk et l'utilisation d'une solution alternative,

    • Pour les environnements Windows et macOS, de procéder à la mise à jour de la solution AnyDesk (la mise à jour doit impérativement être téléchargée depuis le site officiel de l'éditeur https://anydesk.com),

    • Pour les autres versions, l’ANSSI est dans l’attente de plus d’informations et vous invite à rester attentif aux futures mises à jour publiées par l'éditeur,

    • Une fois le parc migré vers cette nouvelle version, et dans la mesure du possible, de détecter/bloquer toute application signée avec les certificats suivants:

      • Pour Windows

      fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece serial : 0dbf152deaf0b981a8a938d53f769db8 Valide à partir du: lundi 13 décembre 2021 01:00:00 Valide jusqu'au: jeudi 9 janvier 2025 00:59:59 CN = philandro Software GmbH O = philandro Software GmbH L = Stuttgart S = Baden-Württemberg C = DE

      • Pour macOS

      fingerprint : 4a1dfb9aa37809b3a123e0ac750bf370469ebaeb serial : 2379881731619607111 (0x210709d364a0d247) Valide à partir du: mardi 8 juin 2021 11:04:30 Valide jusqu'au: mardi 9 juin 2026 11:04:29 CN = Developer ID Application: philandro Software GmbH (KU6W3B6JMZ) OU = KU6W3B6JMZ O = philandro Software GmbH C = DE 7. Procéder au renouvellement de l’ensemble des mots de passe servant aux connexions aux instances applicatives AnyDesk 8. Rechercher toute activité suspecte sur et à l'origine de ces machines à compter du 20/12/2023 - En cas de doute, faire appel à un prestataire qualifié de réponse aux incidents de sécurité (PRIS)

Identifier et référencer l'emploi d'outils Anydesk au sein du système d'information

Pour identifier quelles machines sont susceptibles de recourir à la solution AnyDesk, il est possible de combiner plusieurs méthodes:

Au niveau réseau

Au niveau réseau, identifier toute machine établissant des connexions vers:

*.net.anydesk.com

Au niveau système

Un seul de ces observables peut indiquer la présence d'Anydesk

Windows

Il est possible de s'appuyer sur l'outil FastFind de l'ANSSI qui est joint à cette publication et de le passer sur les parcs Windows. Celui-ci reprend notamment les éléments ci-dessous qui peuvent également être recherchés via les éventuels outils existants au sein des SI (Par ex. outils d'inventaires de parc, EDR, etc.).

Télécharger l'outil FastFind

La présence d'un des fichiers suivants:

  • C:\Program Files (x86)\AnyDesk\AnyDesk.exe

  • %PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\AnyDesk.lnk

  • C:\Windows\Prefetch\ANYDESK.EXE-[A-F0-9]{8}.pf

(Pour rappel il existe également une version portable de l'application)

Il est possible également de vérifier la présence des clés de registre suivantes:

  • HKLM\SYSTEM\ControlSet001\Services\AnyDesk

  • HKLM\SOFTWARE\Clients\Media\AnyDesk

  • HKLM\SOFTWARE\Classes\.anydesk\shell\open\command

Dans les journaux Windows rechercher l'événement de création de service 7045 ci-dessous:

    ImagePath:"C:\\Program Files (x86)\\AnyDesk\\AnyDesk.exe" –service
    ServiceName:"AnyDesk Service"
    ServiceType:"service en mode utilisateur",
    StartType:"Démarrage automatique"

Tous les logiciels signés avec le certificat

    fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece
    serial : 0dbf152deaf0b981a8a938d53f769db8
    lundi 13 décembre 2021 01:00:00
    jeudi 9 janvier 2025 00:59:59
    CN = philandro Software GmbH
    O = philandro Software GmbH
    L = Stuttgart
    S = Baden-Württemberg
    C = DE

Linux

La présence d'un des fichiers suivants :

  • /etc/systemd/system/anydesk.service

  • /usr/bin/anydesk

  • /usr/lib64/anydesk

  • /usr/libexec/anydesk

  • /usr/bin/anydesk

  • /home/*/.anydesk/

MacOS

La présence d'un des fichiers suivants :

  • ~/.anydesk/system.conf

  • ~/.anydesk/service.conf

  • ~/.anydesk/user.conf

Et la présence de l'application

/Applications/Anydesk.app/

Collectes préventives

Une fois l'inventaire réalisé et afin, dans la mesure du possible, de faciliter de potentielles futures levées de doutes, l'ANSSI recommande de mettre sous séquestre a minima les éléments ci-dessous, avant de procéder à la montée de version de l'application. Puis en cas de suspicion de procéder à leur analyse.

Journaux à collecter

  • journaux système des machines concernées ;
  • journaux applicatifs des solutions AnyDesk ;

    • journaux spécifiques à l'application pour un environnement Windows

      • %APPDATA%\AnyDesk\ad.trace # log interface utilisateur

      • %PROGRAMDATA%\AnyDesk\ad_svc.trace # logs de service

      • %PROGRAMDATA%\AnyDesk\connection_trace.txt # logs des connexions entrantes

        • journaux spécifiques à l'application pour un environnement Linux

      • /home/*/.anydesk/.anydesk.trace

      • /home/*/.anydesk/anydesk.trace

      • /root/*/.anydesk/.anydesk.trace

      • /root/*/.anydesk/anydesk.trace

      • /var/log/anydesk.trace

      • /etc/anydesk/connection_trace.txt

        • journaux spécifiques à l'application pour un environnement MacOS

      • ~/.anydesk/anydesk.trace

      • ~/.anydesk/connection_trace.txt

      • journaux réseau en lien avec les machines concernées.

[Mise à jour du 27 février 2024]

L'ensemble des logiciels produits par la société AnyDesk (Windows, linux, MacOs, Android, iOS, AppleTV, On-Premises, etc.)

  • Pour Windows les versions installables et portables qui ont été signées antérieurement aux versions 8.0.8 et 7.0.15;
  • Pour MacOS les versions installables qui ont été signées antérieurement aux versions 8.0.0 ;
  • Pour les versions Windows clients dites « custom » ou encore employées dans le cadre de la solution « On-premise », qui n’ont pas été régénérées en 7.0.14 depuis l’espace client AnyDesk ;
  • Pour les versions macOS clients dites « custom » ou encore employées dans le cadre de la solution « On-premise » qui n’ont pas été régénérées en 7.3.0 depuis l’espace client AnyDesk ;
  • Pour les autres versions, l’ANSSI est dans l’attente de plus d’informations et vous invite à rester attentif aux futures communications.
Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e[Mise \u00e0 jour du 27 f\u00e9vrier 2024] \u003c/strong\u003e\u003c/span\u003e\u003c/p\u003e \u003cp\u003eL\u0027ensemble des logiciels produits par la soci\u00e9t\u00e9 AnyDesk (Windows, linux, MacOs, Android, iOS, AppleTV, On-Premises, etc.)\u003c/p\u003e \u003cul\u003e \u003cli\u003ePour Windows les versions installables et portables qui ont \u00e9t\u00e9 sign\u00e9es ant\u00e9rieurement aux versions 8.0.8 et \u003cspan style=\"color: #ff0000;\"\u003e7.0.15\u003c/span\u003e;\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003ePour MacOS les versions installables qui ont \u00e9t\u00e9 sign\u00e9es ant\u00e9rieurement aux versions 8.0.0 ;\u003c/span\u003e\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003ePour les versions Windows clients dites \u00ab\u00a0custom\u00a0\u00bb ou encore employ\u00e9es dans le cadre de la solution \u00ab\u00a0On-premise\u00a0\u00bb, qui n\u2019ont pas \u00e9t\u00e9 r\u00e9g\u00e9n\u00e9r\u00e9es en 7.0.14 depuis l\u2019espace client AnyDesk ;\u003c/span\u003e\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003ePour les versions macOS clients dites \u00ab\u00a0custom\u00a0\u00bb ou encore employ\u00e9es dans le cadre de la solution \u00ab\u00a0On-premise\u00a0\u00bb qui n\u2019ont pas \u00e9t\u00e9 r\u00e9g\u00e9n\u00e9r\u00e9es en 7.3.0 depuis l\u2019espace client AnyDesk ;\u003c/span\u003e\u003c/li\u003e \u003cli\u003ePour les autres versions, l\u2019ANSSI est dans l\u2019attente de plus d\u2019informations et vous invite \u00e0 rester attentif aux futures communications.\u003c/li\u003e \u003c/ul\u003e ",
  "closed_at": "2024-04-15",
  "content": "",
  "cves": [],
  "links": [
    {
      "title": "Communiqu\u00e9 de l\u0027\u00e9diteur AnyDesk du 2 f\u00e9vrier 2024",
      "url": "https://anydesk.com/en/public-statement"
    },
    {
      "title": "Les bons r\u00e9flexes en cas d\u0027intrusion",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    }
  ],
  "reference": "CERTFR-2024-ALE-003",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2024-02-05T00:00:00.000000"
    },
    {
      "description": "Prise en compte des derniers communiqu\u00e9s de l\u0027\u00e9diteur",
      "revision_date": "2024-02-27T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2024-04-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Prise de contr\u00f4le \u00e0 distance par un acteur malveillant"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\\[Mise \u00e0 jour du 27 f\u00e9vrier 2024\\]\u003c/strong\u003e\n\u003c/span\u003e\n\nLe 29 janvier 2024 l\u0027ANSSI a \u00e9t\u00e9 alert\u00e9e par le BSI que l\u0027\u00e9diteur\nAnyDesk Software GmbH a \u00e9t\u00e9 victime d\u0027une fuite de donn\u00e9es. Le code\nsource des applications d\u00e9velopp\u00e9es par l\u0027\u00e9diteur ainsi que des\ncertificats et cl\u00e9s priv\u00e9es pourraient avoir \u00e9t\u00e9 d\u00e9rob\u00e9s. \u003cspan\nstyle=\"color: #ff0000;\"\u003eDe plus, l\u2019\u00e9diteur indique que deux de ses\nserveurs relais situ\u00e9s en Europe ont \u00e9galement \u00e9t\u00e9 affect\u00e9s par cet\nincident.\u003c/span\u003e\n\nL\u0027\u00e9diteur est sp\u00e9cialis\u00e9 dans le d\u00e9veloppement de solutions logicielles\nde bureau \u00e0 distance utilisables pour l\u0027assistance \u00e0 distance des\nutilisateurs, l\u0027administration de serveurs, le t\u00e9l\u00e9travail ou encore le\nrebond vers des ressources internes d\u0027entreprise non accessibles\npubliquement. Les solutions AnyDesk couvrent un large spectre de\nsyst\u00e8mes d\u0027exploitation : Linux, Windows, MacOS, Android, iOS, AppleTV,\netc.\n\nSelon l\u0027entreprise, les donn\u00e9es exfiltr\u00e9es pourraient potentiellement\n\u00eatre r\u00e9utilis\u00e9es dans le cadre d\u0027attaques ult\u00e9rieures visant les\nutilisateurs des solutions AnyDesk. Selon l\u0027\u00e9diteur ces attaques sont\nsusceptibles de :\n\n-   Viser \u00e0 affaiblir la s\u00e9curit\u00e9 de l\u0027infrastructure de communication\n    entre utilisateurs AnyDesk, par exemple au travers d\u0027attaques de\n    type homme du milieu/attaque de l\u0027intercepteur (Meddler in the\n    Middle/Man in the Middle) ;\n-   Viser \u00e0 alt\u00e9rer les logiciels publi\u00e9s par l\u0027entreprise ou identifi\u00e9s\n    comme produits par l\u0027entreprise.\n\nLe CERT-FR ne peut pas confirmer, \u00e0 ce stade, la vraisemblance ou la\ncomplexit\u00e9 de mise en \u0153uvre de telles attaques. Toutefois, au regard de\nla nature de ce type de solutions logicielles et de leurs conditions\nd\u0027emploi, la compromission d\u0027\u00e9changes entre utilisateurs ou le pi\u00e9geage\napplicatif pourraient servir de point d\u0027entr\u00e9e vers les syst\u00e8mes\nd\u0027information.\n\n## Mesures conservatoires\n\n\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\\[Mise \u00e0 jour du 27 f\u00e9vrier 2024\\]\u003c/strong\u003e\n\u003c/span\u003e\n\nEn attendant de disposer d\u0027informations compl\u00e9mentaires, le CERT-FR\nrecommande de mettre en \u0153uvre les actions suivantes:\n\n1.  Identifier et r\u00e9f\u00e9rencer sur vos syst\u00e8mes d\u0027information si l\u0027une des\n    solutions AnyDesk est install\u00e9e (ne pas oublier aussi de v\u00e9rifier la\n    flotte mobile le cas \u00e9ch\u00e9ant)\u00a0:\n    -   Pour aider \u00e0 identifier ces machines, plusieurs m\u00e9thodes sont\n        propos\u00e9es dans la section \"Identifier et r\u00e9f\u00e9rencer sur vos\n        syst\u00e8mes d\u0027informations l\u0027emploi d\u0027outils AnyDesk\",\n    -   Une fois cet inventaire r\u00e9alis\u00e9, mettre sous s\u00e9questre les\n        r\u00e9sultats pour faciliter de potentielles futures\n        investigations\u00a0;\n2.  Identifier si l\u0027installation de cette application a \u00e9t\u00e9 faite dans\n    le cadre d\u0027une activit\u00e9 l\u00e9gitime, connue et valid\u00e9e en interne de\n    votre entit\u00e9\u00a0;\n3.  Identifier le niveau de sensibilit\u00e9 des machines, postes, serveurs\n    recourant \u00e0 ces outils et les contraintes m\u00e9tier associ\u00e9es \u00e0 leur\n    emploi\u00a0;\n4.  Dans le cadre de l\u0027appr\u00e9ciation des risques, identifier l\u0027impact que\n    pourrait avoir un sc\u00e9nario d\u0027incident impliquant une potentielle\n    compromission d\u0027une ou plusieurs de ces machines\u00a0;\n5.  En fonction de votre appr\u00e9ciation des risques, et afin d\u0027anticiper\n    de potentielles futures lev\u00e9es de doutes, proc\u00e9der et mettre sous\n    s\u00e9questre un relev\u00e9 d\u0027investigation num\u00e9rique sur l\u0027ensemble des\n    machines concern\u00e9es\u00a0:\n    -   Si cela ne peut \u00eatre fait de fa\u00e7on globale, l\u0027ANSSI recommande\n        de commencer par les machines les plus critiques,\n    -   Voir la section \"Collectes pr\u00e9ventives\"\u00a0;\n6.  En fonction de votre appr\u00e9ciation des risques et des contraintes\n    m\u00e9tier:\n    -   \u003cspan style=\"color: #ff0000;\"\u003ePour les solutions AnyDesk n\u2019ayant\n        pas fait l\u2019objet de mises \u00e0 jour de s\u00e9curit\u00e9, envisager la\n        d\u00e9sinstallation de la solution AnyDesk et l\u0027utilisation d\u0027une\n        solution alternative,\u003c/span\u003e\n\n    -   \u003cspan style=\"color: #ff0000;\"\u003ePour les environnements Windows et\n        macOS, de proc\u00e9der \u00e0 la mise \u00e0 jour de la solution AnyDesk (la\n        mise \u00e0 jour doit imp\u00e9rativement \u00eatre t\u00e9l\u00e9charg\u00e9e depuis le site\n        officiel de l\u0027\u00e9diteur https://anydesk.com),\u003c/span\u003e\n\n    -   Pour les autres versions, l\u2019ANSSI est dans l\u2019attente de plus\n        d\u2019informations et vous invite \u00e0 rester attentif aux futures\n        mises \u00e0 jour publi\u00e9es par l\u0027\u00e9diteur,\n\n    -   Une fois le parc migr\u00e9 vers cette nouvelle version, et dans la\n        mesure du possible, de d\u00e9tecter/bloquer toute application sign\u00e9e\n        avec les certificats suivants:\n\n        -   Pour Windows\n\n        ```\n            fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece\n            serial : 0dbf152deaf0b981a8a938d53f769db8\n            Valide \u00e0 partir du: lundi 13 d\u00e9cembre 2021 01:00:00\n            Valide jusqu\u0027au: jeudi 9 janvier 2025 00:59:59\n            CN = philandro Software GmbH\n            O = philandro Software GmbH\n            L = Stuttgart\n            S = Baden-W\u00fcrttemberg\n            C = DE\n        ```\n\n        -   \u003cspan style=\"color: #ff0000;\"\u003ePour macOS\u003c/span\u003e\n\n        ```\n            fingerprint : 4a1dfb9aa37809b3a123e0ac750bf370469ebaeb\n            serial : 2379881731619607111 (0x210709d364a0d247)\n            Valide \u00e0 partir du: mardi 8 juin 2021 11:04:30\n            Valide jusqu\u0027au: mardi 9 juin 2026 11:04:29\n            CN = Developer ID Application: philandro Software GmbH (KU6W3B6JMZ)\n            OU = KU6W3B6JMZ\n            O = philandro Software GmbH\n            C = DE\n        ```\n7.  \u003cspan style=\"color: #ff0000;\"\u003eProc\u00e9der au renouvellement de\n    l\u2019ensemble des mots de passe servant aux connexions aux instances\n    applicatives AnyDesk\u003c/span\u003e\n8.  Rechercher toute activit\u00e9 suspecte sur et \u00e0 l\u0027origine de ces\n    machines \u00e0 compter du 20/12/2023\n    -   En cas de doute, faire appel \u00e0 un prestataire qualifi\u00e9 de\n        r\u00e9ponse aux incidents de s\u00e9curit\u00e9 (PRIS)\n\n## Identifier et r\u00e9f\u00e9rencer l\u0027emploi d\u0027outils Anydesk au sein du syst\u00e8me d\u0027information\n\nPour identifier quelles machines sont susceptibles de recourir \u00e0 la\nsolution AnyDesk, il est possible de combiner plusieurs m\u00e9thodes:\n\n### Au niveau r\u00e9seau\n\nAu niveau r\u00e9seau, identifier toute machine \u00e9tablissant des connexions\nvers:\n\n    *.net.anydesk.com\n\n### Au niveau syst\u00e8me\n\nUn seul de ces observables peut indiquer la pr\u00e9sence d\u0027Anydesk\n\n#### Windows\n\nIl est possible de s\u0027appuyer sur l\u0027outil FastFind de l\u0027ANSSI qui est\njoint \u00e0 cette publication et de le passer sur les parcs Windows.\nCelui-ci reprend notamment les \u00e9l\u00e9ments ci-dessous qui peuvent \u00e9galement\n\u00eatre recherch\u00e9s via les \u00e9ventuels outils existants au sein des SI (Par\nex. outils d\u0027inventaires de parc, EDR, etc.).\n\n[\u003cspan\nstyle=\"display: block; text-align: center; padding: 5px 8px 5px 8px; background-color: #c4322c; width: 280px; height: 40px; margin: 0 auto; color: #ffffff;\"\ndarkreader-inline-bgcolor=\"\" darkreader-inline-color=\"\"\u003eT\u00e9l\u00e9charger\nl\u0027outil\nFastFind\u003c/span\u003e](/uploads/20240205_AnyDesk-CERT-FR_TLP_CLEAR.zip)\n\nLa pr\u00e9sence d\u0027un des fichiers suivants:\n\n-   ```C:\\Program Files (x86)\\AnyDesk\\AnyDesk.exe```\n\n-   ```%PROGRAMDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\AnyDesk.lnk```\n\n-   ```C:\\Windows\\Prefetch\\ANYDESK.EXE-[A-F0-9]{8}.pf```\n\n(Pour rappel il existe \u00e9galement une version portable de l\u0027application)\n\nIl est possible \u00e9galement de v\u00e9rifier la pr\u00e9sence des cl\u00e9s de registre\nsuivantes:\n\n-   ```HKLM\\SYSTEM\\ControlSet001\\Services\\AnyDesk```\n\n-   ```HKLM\\SOFTWARE\\Clients\\Media\\AnyDesk```\n\n-   ```HKLM\\SOFTWARE\\Classes\\.anydesk\\shell\\open\\command```\n\nDans les journaux Windows rechercher l\u0027\u00e9v\u00e9nement de cr\u00e9ation de service\n7045 ci-dessous:\n```\n    ImagePath:\"C:\\\\Program Files (x86)\\\\AnyDesk\\\\AnyDesk.exe\" \u2013service\n    ServiceName:\"AnyDesk Service\"\n    ServiceType:\"service en mode utilisateur\",\n    StartType:\"D\u00e9marrage automatique\"\n```\nTous les logiciels sign\u00e9s avec le certificat\n```\n    fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece\n    serial : 0dbf152deaf0b981a8a938d53f769db8\n    lundi 13 d\u00e9cembre 2021 01:00:00\n    jeudi 9 janvier 2025 00:59:59\n    CN = philandro Software GmbH\n    O = philandro Software GmbH\n    L = Stuttgart\n    S = Baden-W\u00fcrttemberg\n    C = DE\n```\n##### \n\n#### Linux\n\nLa pr\u00e9sence d\u0027un des fichiers suivants :\n\n-   ```/etc/systemd/system/anydesk.service```\n\n-   ```/usr/bin/anydesk```\n\n-   ```/usr/lib64/anydesk```\n\n-   ```/usr/libexec/anydesk```\n\n-  ```/usr/bin/anydesk```\n\n-   ```/home/*/.anydesk/```\n\n##### \n\n#### MacOS\n\nLa pr\u00e9sence d\u0027un des fichiers suivants :\n\n-   ```~/.anydesk/system.conf```\n\n-   ```~/.anydesk/service.conf```\n\n-   ```~/.anydesk/user.conf```\n\nEt la pr\u00e9sence de l\u0027application\n\n    /Applications/Anydesk.app/\n\n##### \n\n#### \n\n## Collectes pr\u00e9ventives\n\nUne fois l\u0027inventaire r\u00e9alis\u00e9 et afin, dans la mesure du possible, de\nfaciliter de potentielles futures lev\u00e9es de doutes, l\u0027ANSSI recommande\nde mettre sous s\u00e9questre a minima les \u00e9l\u00e9ments ci-dessous, avant de\nproc\u00e9der \u00e0 la mont\u00e9e de version de l\u0027application. Puis en cas de\nsuspicion de proc\u00e9der \u00e0 leur analyse.\n\n### Journaux \u00e0 collecter\n\n-   journaux syst\u00e8me des machines concern\u00e9es ;\n-   journaux applicatifs des solutions AnyDesk ;\n    -   journaux sp\u00e9cifiques \u00e0 l\u0027application pour un environnement\n        Windows\n        -   ```%APPDATA%\\AnyDesk\\ad.trace # log interface utilisateur```\n\n        -   ```%PROGRAMDATA%\\AnyDesk\\ad_svc.trace # logs de service```\n\n        -   ```%PROGRAMDATA%\\AnyDesk\\connection_trace.txt # logs des connexions entrantes```\n    -   journaux sp\u00e9cifiques \u00e0 l\u0027application pour un environnement Linux\n        -  ```/home/*/.anydesk/.anydesk.trace```\n\n        -   ```/home/*/.anydesk/anydesk.trace```\n\n        -  ``` /root/*/.anydesk/.anydesk.trace```\n\n        -  ``` /root/*/.anydesk/anydesk.trace```\n\n        -   ```/var/log/anydesk.trace```\n\n        -   ```/etc/anydesk/connection_trace.txt```\n    -   journaux sp\u00e9cifiques \u00e0 l\u0027application pour un environnement MacOS\n        -   ```~/.anydesk/anydesk.trace```\n\n        -   ```~/.anydesk/connection_trace.txt```\n-   journaux r\u00e9seau en lien avec les machines concern\u00e9es.\n\n\u00a0\n",
  "title": "[M\u00e0J] Incident affectant les solutions AnyDesk",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.