Fecha de publicación: Mié, 07/02/2024 - 10:47

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

La empresa AnyDesk tras una auditoria de seguridad encontró evidencias de sistemas de producción comprometidos, por lo que ha revocado todos los certificados relacionados con la seguridad, las contraseñas de su portal web, my.anydesk[.]com y el certificado de firma de código.

El vector de infección identificado es un anuncio malicioso en Google para AnyDesk, cuando una persona hace clic en la página de resultados de búsqueda, este redirige a un sitio web falso llamado anadesky.ovmv[.]net que apunta a un instalador MSI malicioso alojado en Dropbox.

La redirección al sitio web falso sólo se produce después de tomar la huella digital de la solicitud, y sólo si no se origina en una máquina virtual, se lleva a cabo una segunda ronda de toma de huellas digitales, esto permite a los actores de amenazas obtener acceso remoto no autorizado a sistemas comprometidos y transmitir comandos desde un servidor de comando y control (C2), que van desde shellcode arbitrario, DLL o archivos ejecutables, hasta otras herramientas maliciosas como Cobalt Strike,PikaBot.

PoC

Recursos afectados

  • AnyDesk anterior a la versión 7.0.15
  • AnyDesk anterior a la versión 8.0.8.

Solución

Descargar de la pagina oficial de AnyDesk la versión para su sistema operativo.

Recomendaciones

  • Descargar la última versión de la pagina oficial que viene con un nuevo certificado de firma de código.
  • Cambiar la contraseña.

Referencias

La empresa de software AnyDesk revela un incidente de violación de seguridad