Résumé

[Mise à jour du 27 février 2024]

Le 29 janvier 2024 l'ANSSI a été alertée par le BSI que l'éditeurAnyDesk Software GmbH a été victime d'une fuite de données. Le codesource des applications développées par l'éditeur ainsi que descertificats et clés privées pourraient avoir été dérobés. De plus, l’éditeur indique que deux de sesserveurs relais situés en Europe ont également été affectés par cetincident.

L'éditeur est spécialisé dans le développement de solutions logiciellesde bureau à distance utilisables pour l'assistance à distance desutilisateurs, l'administration de serveurs, le télétravail ou encore lerebond vers des ressources internes d'entreprise non accessiblespubliquement. Les solutions AnyDesk couvrent un large spectre desystèmes d'exploitation : Linux, Windows, MacOS, Android, iOS, AppleTV,etc.

Selon l'entreprise, les données exfiltrées pourraient potentiellementêtre réutilisées dans le cadre d'attaques ultérieures visant lesutilisateurs des solutions AnyDesk. Selon l'éditeur ces attaques sontsusceptibles de :

• Viser à affaiblir la sécurité de l'infrastructure de communicationentre utilisateurs AnyDesk, par exemple au travers d'attaques detype homme du milieu/attaque de l'intercepteur (Meddler in theMiddle/Man in the Middle) ;
• Viser à altérer les logiciels publiés par l'entreprise ou identifiéscomme produits par l'entreprise.

Le CERT-FR ne peut pas confirmer, à ce stade, la vraisemblance ou lacomplexité de mise en œuvre de telles attaques. Toutefois, au regard dela nature de ce type de solutions logicielles et de leurs conditionsd'emploi, la compromission d'échanges entre utilisateurs ou le piégeageapplicatif pourraient servir de point d'entrée vers les systèmesd'information.

Mesures conservatoires

[Mise à jour du 27 février 2024]

En attendant de disposer d'informations complémentaires, le CERT-FRrecommande de mettre en œuvre les actions suivantes:

1. Identifier et référencer sur vos systèmes d'information si l'une dessolutions AnyDesk est installée (ne pas oublier aussi de vérifier laflotte mobile le cas échéant) :
   • Pour aider à identifier ces machines, plusieurs méthodes sontproposées dans la section "Identifier et référencer sur vossystèmes d'informations l'emploi d'outils AnyDesk",
   • Une fois cet inventaire réalisé, mettre sous séquestre lesrésultats pour faciliter de potentielles futuresinvestigations ;
2. Identifier si l'installation de cette application a été faite dansle cadre d'une activité légitime, connue et validée en interne devotre entité ;
3. Identifier le niveau de sensibilité des machines, postes, serveursrecourant à ces outils et les contraintes métier associées à leuremploi ;
4. Dans le cadre de l'appréciation des risques, identifier l'impact quepourrait avoir un scénario d'incident impliquant une potentiellecompromission d'une ou plusieurs de ces machines ;
5. En fonction de votre appréciation des risques, et afin d'anticiperde potentielles futures levées de doutes, procéder et mettre sousséquestre un relevé d'investigation numérique sur l'ensemble desmachines concernées :
   • Si cela ne peut être fait de façon globale, l'ANSSI recommandede commencer par les machines les plus critiques,
   • Voir la section "Collectes préventives" ;
6. En fonction de votre appréciation des risques et des contraintesmétier:

   • Pour les solutions AnyDesk n’ayantpas fait l’objet de mises à jour de sécurité, envisager ladésinstallation de la solution AnyDesk et l'utilisation d'unesolution alternative,

   • Pour les environnements Windows etmacOS, de procéder à la mise à jour de la solution AnyDesk (lamise à jour doit impérativement être téléchargée depuis le siteofficiel de l'éditeur https://anydesk.com),

   • Pour les autres versions, l’ANSSI est dans l’attente de plusd’informations et vous invite à rester attentif aux futuresmises à jour publiées par l'éditeur,

   • Une fois le parc migré vers cette nouvelle version, et dans lamesure du possible, de détecter/bloquer toute application signéeavec les certificats suivants:

     • Pour Windows

      fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece serial : 0dbf152deaf0b981a8a938d53f769db8 Valide à partir du: lundi 13 décembre 2021 01:00:00 Valide jusqu'au: jeudi 9 janvier 2025 00:59:59 CN = philandro Software GmbH O = philandro Software GmbH L = Stuttgart S = Baden-Württemberg C = DE

     • Pour macOS

      fingerprint : 4a1dfb9aa37809b3a123e0ac750bf370469ebaeb serial : 2379881731619607111 (0x210709d364a0d247) Valide à partir du: mardi 8 juin 2021 11:04:30 Valide jusqu'au: mardi 9 juin 2026 11:04:29 CN = Developer ID Application: philandro Software GmbH (KU6W3B6JMZ) OU = KU6W3B6JMZ O = philandro Software GmbH C = DE

7. Procéder au renouvellement del’ensemble des mots de passe servant aux connexions aux instancesapplicatives AnyDesk
8. Rechercher toute activité suspecte sur et à l'origine de cesmachines à compter du 20/12/2023
   • En cas de doute, faire appel à un prestataire qualifié deréponse aux incidents de sécurité (PRIS)

Identifier et référencer l'emploi d'outils Anydesk au sein du système d'information

Pour identifier quelles machines sont susceptibles de recourir à lasolution AnyDesk, il est possible de combiner plusieurs méthodes:

Au niveau réseau

Au niveau réseau, identifier toute machine établissant des connexionsvers:

*.net.anydesk.com

Au niveau système

Un seul de ces observables peut indiquer la présence d'Anydesk

Windows

Il est possible de s'appuyer sur l'outil FastFind de l'ANSSI qui estjoint à cette publication et de le passer sur les parcs Windows.Celui-ci reprend notamment les éléments ci-dessous qui peuvent égalementêtre recherchés via les éventuels outils existants au sein des SI (Parex. outils d'inventaires de parc, EDR, etc.).

Téléchargerl'outilFastFind

La présence d'un des fichiers suivants:

• C:\Program Files (x86)\AnyDesk\AnyDesk.exe

• %PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\AnyDesk.lnk

• C:\Windows\Prefetch\ANYDESK.EXE-[A-F0-9]{8}.pf

(Pour rappel il existe également une version portable de l'application)

Il est possible également de vérifier la présence des clés de registresuivantes:

• HKLM\SYSTEM\ControlSet001\Services\AnyDesk

• HKLM\SOFTWARE\Clients\Media\AnyDesk

• HKLM\SOFTWARE\Classes\.anydesk\shell\open\command

Dans les journaux Windows rechercher l'événement de création de service7045 ci-dessous:

 ImagePath:"C:\\Program Files (x86)\\AnyDesk\\AnyDesk.exe" –service ServiceName:"AnyDesk Service" ServiceType:"service en mode utilisateur", StartType:"Démarrage automatique"

Tous les logiciels signés avec le certificat

 fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece serial : 0dbf152deaf0b981a8a938d53f769db8 lundi 13 décembre 2021 01:00:00 jeudi 9 janvier 2025 00:59:59 CN = philandro Software GmbH O = philandro Software GmbH L = Stuttgart S = Baden-Württemberg C = DE

Linux

La présence d'un des fichiers suivants :

• /etc/systemd/system/anydesk.service

• /usr/bin/anydesk

• /usr/lib64/anydesk

• /usr/libexec/anydesk

• /usr/bin/anydesk

• /home/*/.anydesk/

MacOS

La présence d'un des fichiers suivants :

• ~/.anydesk/system.conf

• ~/.anydesk/service.conf

• ~/.anydesk/user.conf

Et la présence de l'application

/Applications/Anydesk.app/

Collectes préventives

Une fois l'inventaire réalisé et afin, dans la mesure du possible, defaciliter de potentielles futures levées de doutes, l'ANSSI recommandede mettre sous séquestre a minima les éléments ci-dessous, avant deprocéder à la montée de version de l'application. Puis en cas desuspicion de procéder à leur analyse.

Journaux à collecter

• journaux système des machines concernées ;
• journaux applicatifs des solutions AnyDesk ;
  • journaux spécifiques à l'application pour un environnementWindows

    • %APPDATA%\AnyDesk\ad.trace # log interface utilisateur

    • %PROGRAMDATA%\AnyDesk\ad_svc.trace # logs de service

    • %PROGRAMDATA%\AnyDesk\connection_trace.txt # logs des connexions entrantes

  • journaux spécifiques à l'application pour un environnement Linux

    • /home/*/.anydesk/.anydesk.trace

    • /home/*/.anydesk/anydesk.trace

    • /root/*/.anydesk/.anydesk.trace

    • /root/*/.anydesk/anydesk.trace

    • /var/log/anydesk.trace

    • /etc/anydesk/connection_trace.txt

  • journaux spécifiques à l'application pour un environnement MacOS

    • ~/.anydesk/anydesk.trace

    • ~/.anydesk/connection_trace.txt

• journaux réseau en lien avec les machines concernées.