Ранее я рассказывал про поиск следов использования AnyDesk на компьютере. Сегодня рассмотрим различные уязвимости AnyDesk. Мы также рассмотрим меры предосторожности, которые пользователи могут принять, чтобы защитить себя от возможных угроз и обеспечить безопасное использование этой программы.
Еще по теме: Лучшие сайты для поиска уязвимостей
Что такое AnyDesk
AnyDesk — популярное программное обеспечение для удаленного администрирования и поддержки, которое используется миллионами пользователей по всему миру. Однако, как и любое ПО, AnyDesk не лишено уязвимостей, которые могут быть использованы злоумышленниками.
Что такое CVE
CVE — это уникальный идентификатор, который используется для каталогизации известных уязвимостей в программном обеспечении и аппаратных средствах.
Расшифровка аббревиатуры:
- C — Common (общая)
- V — Vulnerability (уязвимость)
- E — Exposure (разоблачение)
Каждой обнаруженной уязвимости присваивается уникальный CVE-идентификатор вида CVE-ГГГГ-НННН, где:
- ГГГГ — год обнаружения уязвимости
- НННН — порядковый номер уязвимости в рамках года
Например:
CVE-2018-9995 — уязвимость, обнаруженная в 2018 году, порядковый номер 9995.
Использование CVE позволяет идентифицировать конкретную уязвимость в различных базах данных и источниках. Это упрощает обмен информацией об уязвимостях между поставщиками ПО, исследователями и пользователями.
Уязвимости AnyDesk
Ниже приведен список CVE AnyDesk. Локальное повышение привилегий в CVE-2021-40854 тривиально, но требует GUI-доступа к логам чата. Вкратце можно сказать, что по умолчанию вы открываете лог чата в блокноте уровня SYSTEM, затем через Файл —> Открыть запускаете cmd.exe.
CVE-2020-13160
AnyDesk до версии 5.5.3 на Linux и FreeBSD имеет уязвимость форматной строки, которая может быть использована для удаленного выполнения кода.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13160
CVE-2020-27614
AnyDesk для macOS версии 6.0.2 и старше имеет уязвимость в интерфейсе XPC, которая не проверяет должным образом запросы клиентов и позволяет локально повысить привилегии.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27614
CVE-2020-35483
AnyDesk для Windows уязвим к атаке с перехватом DLL, когда злоумышленник помещает вредоносный файл gcapi.dll в каталог приложения, а затем устанавливает атрибут «только для чтения«, чтобы предотвратить перезапись файла. При выполнении AnyDesk попытается загрузить этот DLL-файл.
Если злоумышленнику удастся поместить файл gcapi.dll в директорию приложения, AnyDesk запустит любой вредоносный код, содержащийся в этом файле. Код будет выполняться с привилегиями обычного пользователя, если только пользователь специально не запустит AnyDesk от имени администратора.
Примечание: это особенно критично для портативной версии AnyDesk, которая, скорее всего, будет запущена из незащищенного несистемного каталога, например, из каталога загрузки браузеров.
Уязвимость затрагивает AnyDesk для Windows версий от 5.4.2 до 6.0.8.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35483
CVE-2021-40854
AnyDesk до версии 6.2.6 и 6.3.x до версии 6.3.3 позволяет локальному пользователю получить привилегии администратора, используя функцию Open Chat Log для запуска привилегированного процесса Notepad, который может запускать другие приложения.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-40854
CVE-2018-13102
AnyDesk до версии «12.06.2018 — 4.1.3» на Windows 7 SP1 имеет уязвимость предварительной загрузки DLL.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13102
CVE-2017-14397
AnyDesk до версии 3.6.1 на Windows имеет уязвимость инъекции DLL.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14397
Заключение
Чтобы снизить риски, связанные с уязвимостями AnyDesk, рекомендуется использовать последнюю версию программы, ограничить доступ по сети файрволом, а также предоставлять удаленный доступ только проверенным пользователям. Критически важно устанавливать обновления безопасности AnyDesk сразу после их выхода!