Anydesk Server wurden gehackt
Anydesk ist eine Abonnement-Software zum Fernsteuern des (eigenen) Desktops über das Internet und wird teilweise auch für Homeoffice genutzt. #Wichtig - Wie erst jetzt offiziell vom Anbieter bestätigt, hat es Datendiebstahl bei der Firma Anydesk gegeben, die es den Kriminellen ermöglichte, Anwendern Schadsoftware "unterzujubeln". Zwar wurden mittlerweile die Codesignaturen gesperrt und durch neue ersetzt, es kann aber viele Fälle geben, wo schon eine Schadsoftware auf den Endgeräten installiert wurde und schlummert. Der Hersteller empfiehlt, die Anydesk Software zu deinstallieren und nur die aktuellste Version von der Webseite herunterzuladen und zu verwenden. Außerdem sollten die betroffenen Systeme mit mehreren Virenscannern untersucht werden. Auch die Zugangspasswörter zum Online-Konto müssen geändert werden. Unklar ist noch, ob auch Zahlungsdaten gestohlen wurden aus den Online-Profilen. Wir empfehlen, die Software zu deinstallieren, das Abonnement zu kündigen, betroffene Geräte komplett zu löschen und neu zu installieren. Für die Anwendungen die Daten zu importieren. Wohl dem, der eine Datensicherung hat - es werden allerdings aus Sicherheitsgründen keine Programme und kein Betriebssystem wiederhergestellt. Stellen Sie dann auf andere, sicherere Lösungen - wie beispielsweise den Azure Virtual Desktop unter Windows 10 oder Windows 365 bei Microsoft um. Bei der Microsoft Lösung ist die Sicherheit bereits durch die 2-Faktor-Authentifizierung deutlich höher. Zudem kann der Azure Virtual Desktop in Azure gesichert werden. Bei Homeoffice-Einsatz muss dann auch der PC im Büro nicht eingeschaltet sein und kann Strom sparen. Die Redaktion
erstes Bild
Kategoriebild
OpenAudit Classic SSL-Oberfläche
#Erfreulich - ab Release 2024.01.16 ist die #OpenAudit Classic Weboberfläche auch SSL-verschlüsselt zu erreichen. Dabei wird zum Ende des Setups dem Apache Webserver ein über das beiliegende OpenSSL Commandline Werkzeug ein Zertifikat ausgestellt, das ab Ausstellung jeweils 2 Jahre gültig ist. Es reagiert auf den Servernamen oder auf einen dns alias namens "openaudit". Der Aufruf der Weboberfläche (und damit auch der verbundenen Seiten wie PHPmyAdmin und optional Wordpress Intranet) lautet damit: https://servername:4443/openaudit. Dazu ist im OpenAudit Classic Ordner im Startmenü eine Verknüpfung hinterlegt. Testweise bleibt die Desktopverknüpfung allerdings zunächst klassisch (http://servername:888/openaudit) Wenn das Wordpress-Intranet noch nicht aufgesetzt, aber installiert ist, kann man es aus dem SSL-verschlüsselten Aufruf von OpenAudit im Menü initiieren. Das Intranet hat damit dann auch SSL. Eine nachträglich Änderung von http:// auf https:// ist bei vorhandenen Intranets nicht ohne Aufwand möglich. In einem kommenden Release wird auf die SSL-Verknüpfung umgestellt. Alternativen sind https://openaudit:4443. Tragen Sie dazu die IP Ihres OpenAudit Servers im DNS ein mit cname: openaudit. Selbst ausgestelltes Zertifikat - Warnung abstellen Weil das Zertifikat ein selbst ausgestelltes ist, meinen die aktuellen Browser, die Seite sei unsicher, da das Zertifikat nicht im Internet überprüft werden kann. Betreten Sie die Seite trotzdem. Wenn Sie das Server-Zertifikat exportieren und in den Benutzer-Speicher: "vertrauenswürdige Stammzertifizierungsstellen" importieren, versteht auch der Browser, dass die Daten SSL-verschlüsselt übertragen werden. (Klicken Sie auf das rote "nicht sicher" in der Adresszeile, dann auf Verbindung ist nicht sicher, die Zeile "Zertifikat ist ungültig". Im Register Details exportieren Sie nun das Zertifikat und speichern damit eine…
Kategoriebild
Microsoft WinRE Update scheitert
Am Januar #Patchday 2024 lieferte Microsoft ein zusätzliches Security Update KB5034441 aus, das eine Sicherheitslücke in der Windows-Recovery-Partition schließt. Bei zahlreichen Umgebungen scheitert das Update mit #Fehler 0x80070643 (zu wenig Platz auf der Recovery Partition). Betroffen sind auch Azure Virtual Desktops und Windows Server 2022! Scheinbar haben die Entwickler von Microsoft nicht darüber nachgedacht, dass es Windows 10 Systeme gibt, die teilweise von Windows 7 aktualisiert wurden. Auch neue Windows 10 OEM-System der Hersteller haben meist eine 250 MB große Recovery-Partition am Anfang der SSD. Vergrößern scheitert somit mit Bordmitteln. Wiederum viele User haben damals die WinRE-Partition gelöscht oder überhaupt nicht erst mit installiert. Der Patch von Microsoft berücksichtigt ALLE diese Szenarien nicht. Sogar in Azure Virtual Desktops, die aus der Microsoft Vorlage installiert wurden, ist die Partition zu klein. Die Sicherheitslücke selbst lässt sich indes nur ausnutzen, wenn der Bitlocker aktiviert ist. Da die WinRE-Partition unverschlüsselt ist, kann man, wenn man physikalischen Zugriff auf das Endgerät hat. Somit kann die BitLocker-Geräteverschlüsselung umgangen und auf verschlüsselte Informationen auf dem Datenträger zugegriffen werden. Wurde die WinRE-Partition entfernt, existiert auch die Sicherheitslücke nicht. Dennoch versucht Microsoft andauernd, dieses Update zu installieren. Dies lässt sich nur mit dem Microsoft Werkzeug WSUSHIDESHOW.diagcab verhindern, das das Update versteckt. Die von Microsoft vorgeschlagenen Lösungen und Scripte scheitern immer dann, wenn - wie meistens die WinRE-Partition am Anfang liegt. In dem Fall benötigt man Drittanbieter Partitions-Werkzeuge, um sie auf einen freien Bereich zu verschieben oder die Windows-Partition zu verkleinern. Das birgt bei Bitlocker verschlüsselten Systemen auch hohe…
erstes Bild
Kategoriebild
SSH – Terrapin Angriffs-Szenario
am 18. Dezember haben Forscher herausgefunden, dass man das SSH-Protokoll schwächen kann. Es handelt sich um ein Protokoll zum Konsolenzugriff per Befehlszeile auf meist Linux-basierte Endgeräte wie Router, Firewalls und Server, vergleichbar mit Telnet. Die Verbindung (meist über Port 22) ist aber verschlüsselt. Zu beachten Das Szenario greift nur, wenn man eine spezielle ungewöhnliche Verschlüsselung einsetzt (SSH-Verbindungen, die mit Chacha20-Poly1305 oder Encrypt-then-MAC im CBC-Modus verschlüsselt sind) Wird das SSH Protokoll nur geschwächt, sprich ein potenzieller Angreifer ist nicht automatisch mit der Server-Konsole verbunden - er hat es nur leichter, eine man-in-the-middle Attacke zum Daten mitlesen zu versuchen. Das einzige Gerät im uns bekannten Umfeld, das theoretisch SSH zum Internet publizieren könnte, wäre die Barracuda Firewall. Da die Remotezugriffe aber soweit ich weiß - wie die VPNs - über das TINA Protokoll erfolgen, ist Port 22 dort nicht aus dem Internet erreichbar. Selbst bei der alten w.safe (seit Jahren nicht mehr als Firewall in Betrieb) konnte man nur innerhalb eines VPNs per SSH auf die Linux Konsole zugreifen. Unsere Shop-Frontends sind nicht von dem Szenario betroffen. Wenn Kunden ihre Synology NAS oder eigene Linux Server oder Drittanbieter-Firewalls betreiben und Port 22 zum Internet freischalten in Ihrer Drittanbieter-Firewall, geschieht das auf eigenes Risiko. Wir raten ausdrücklich davon ab. Internet-Auftritte (die Linux-Server, auf denen Apache, NGinix und MariaDB laufen) müssten bei den führenden Providern entweder gar nicht über Port 22 erreichbar oder ausreichend geschützt sein. Das liegt in der Betriebsverantwortung von gehosteten Shared-Servern. Client-Software aktualisieren Zu SSH-Programmen gehören auch die Client-Anwendungen. Nur wenn…
Kategoriebild
Remote-Unterstützung Open-Source
Software für Remote-Unterstützung gibt es wie Sand am Meer. Beispiele dafür sind Teamviewer, PC-Visit und Anydesk. Alle haben jedoch gemeinsam, dass sie nur im monatlichen Abo ab rund 10 € pro Endgerät erhältlich sind. Nach oben hin ist der Preis teilweise exorbitant. Während Ultra-VNC nur im LAN funktioniert, da die "Tunnel durch das Internet" Funktion kompliziert zu konfigurieren ist, funktionieren die Bezahl-Programme von Endpunkt zu Endpunkt getunnelt - auch durch Firewalls hindurch - da außen herum der normale SSL Port 443 benutzt wird. Zudem hat Microsoft angekündigt, seine in Windows 10+ integrierte Remotehilfe Funktion nur noch als Store App und für Windows 11+ weiterzuentwickeln. Bereits jetzt ist die Funktion bei Windows 10 deaktiviert. Eine Alternative, die die Ende-Zu-Ende-Verschlüsselung unterstützt, Remotesteuerung (inkl. unattended Login, bei dem der Bediener nicht am Gerät sein muss) ist HopToDesk - derzeit Open-Source. Die Nutzung ist sowohl geschäftlich, als auch prvat erlaubt. Ob noch Bezahlmodelle dazu kommen, ist offen, man schreibt aber, dass die Basisfunktionen immer kostenlos sein werden. Gut dabei ist: Wie beim Teamviewer Client muss man hier weder Client, noch Host installieren (kann es aber). Beide Seiten starten das Programm (mehrere Instanzen sind auf der Fernwarterseite gleichzeitig möglich) und der Kunde teilt dem Supporter seine angezeite ID (9 stellige Zahl) mit. Mit dieser verbindet sich der Supporter und Beide sehen, was auf dem Bildschirm des Kunden passiert. Mit integriert sind ein Chat und eine Dateitransferfunktion. Solange die Funktionalität nicht zugunsten eines Freemium Modells eingeschränkt ist, spricht wegen Open-Source erstmal nichts gegen den Einsatz der…
Kategoriebild
ImageGlass Viewer 9 verschlimmbessert
Bis Version 8.x (Kobe) ist ImageGlass Viewer immer noch mein Favorit. V8 lässt sich auch ECHT portabel ohne Zusatzkomponenten einsetzen. Mit dem heute veröffentlichten #ImageGlass Viewer 9 gibt es zwar einen "portable" Download, den man auf einen USB-Stick kopieren und ausführen kann, es müssen auf dem Zielsystem aber zunächst sowohl die .net Desktop Runtime mit 200 MB und drei Diensten, die im Hintergrund laufen, auch wenn keine andere Software sie nutzt installiert werden. Außerdem zusätzlich (rund 700 MB) die Edge Webview2 Runtime, die auch gleich den unerwünschten Browser "Microsoft Edge" bei Windows 10 mit installiert und ca. 6 geplante Tasks mehrfach täglich im Hintergrund laufen lässt. Zudem wurden nützliche Features und Einstellungen aus der Software entfernt - wie der integrierte EXIF-Viewer oder der Scrollbar in der Dialeiste. Dieses Feature muss nun als zusätzliche App installiert werden. Müllt das System alles nur zu! Mit dem Update im Dezember 2024 wird Microsoft eine EU-Gesetzgebung umsetzen, nach deren Vorgabe sich der Edge bei Windows 10 und Windows 11 deinstallieren lassen muss. Derzeit kann man die Einstellungen als Insider in einer .json Datei setzen und die unerwünschte Bloatware wird entfernt. Bei paint.net gibt es eine ECHTE "Portable" Version, die .net und alle Bibliotheken enthält und auch nur 60 MB groß ist die ZIP. Sie funktioniert auf jedem sauberen (vanilla) Windows 10 System! Mal sehen, ob der Entwickler auf den "Feature Request" in Github reagiert und auch so eine Version packt, die im User-Kontext läuft und keine Zusatzkomponenten installiert braucht! Fazit: Bis zur Version 8.10.27.9…
Kategoriebild
Neue Outlook-App – noch nicht einsetzen
Microsoft zeigt in der Outlook Windows-Anwendung oben rechts einen Schieberegler „Neues Outlook“ an. Wir berichteten darüber, dass Sie eine Gruppenrichtlinie benötigen, um diese Meldung zu unterdrücken. Mittlerweile ist die App keine Vorabversion „Preview“, sondern veröffentlicht. Im Prinzip handelt es sich um in eine Microsoft-Store App, die den als OWA (Browser-App von Microsoft 365 Outlook) bekannten Webdienst umhüllt. Was spricht dagegen? Update 22.11.2023: Inzwischen warnen auch einige Landesdatenschutzbehörden vor dem Einsatz der "neuen Outlook-App". In ausführlichen Begründungen der Juristen heißt es, Microsoft erfülle die Vorgaben der DSGVO nicht hinreichend. Die Funktionalität im Browser ist bei weitem noch nicht an der des installierbaren Programms angekommen. Mails können zwar damit empfangen, Termine und Kontakte bearbeitet oder erstellt werden. Generell gilt aber: Gegenüber der Win32-Anwendung sind dazu mehr Mausklicks möglich, Tastenkombinationen fehlen oder funktionieren nicht. Ein Beispiel: Ein vorhandenen Termin bearbeiten. Bei Klick kommt zunächst nur eine Zusammenfassung des Termins, dann auf „Bearbeiten“, dann auf „erweitert“ klicken, um z. B. den Status „Abwesend“ oder das Flag „Privat“ zu setzen. Beim Programm kommt sofort der komplette Bearbeitungsmodus und im Ribbon Menü sind alle möglichen Einstellungen mit einem Mausklick zu tätigen. Alle Schnittstellen (auch die für MDE-Geräte) fehlen, selbst die Teams-Integration funktioniert schlecht bis gar nicht – weil es ja kein Addon für die Outlook app gibt. Es gibt keinen „Offline-Modus“, d.h. man braucht eine Internetverbindung, um die Mails/Kalender zu sehen. Es lassen sich keine POP3 oder IMAP-Konten einrichten, lediglich die Anbindung von outlook.com und GMX soll möglich sein (das ist allerdings nur schlecht für kleinere…
Kategoriebild
HP Color Laserjet CP1525nw Farb-Laserdrucker LAN
Hewlett Packard Farb-Laserdrucker Netzwerk LAN/WLAN, mit Eco-Modus, Tonerkartuschen C,Y,M,K mit Restmengen, ein Satz Ersatztoner (C,Y,M,K) liegt bei. Lieferumfang: Drucker, Netzkabel. Kompatibel mit Windows 10/11 und Windows Server 2019 und 2022 (mit HP Universal-Treiber PCL5, 64-Bit). Status: gebraucht, mit Fehlern, geringe Druckleistung. Hinweis: Beim Ausdruck kommen auf den linken 2cm Fehlfarben heraus. Ursache ist vermutlich eine der Toner-Kartuschen oder Fuser-Einheit.
Kategoriebild