Kompromittierte 3CX Desktop APP

[3CX Partner Grieskirchen]

Bitte prüft eure 3CX Desktop Apps auf verdächte Versionen.
Es sind offenbar kompromitterte Varianten im Umlauf.

• 3cxdesktopapp-18.12.407.msi
• 3cxdesktopapp-18.12.416.msi

Siehe hier:

https://www.todyl.com/blog/post/threat-advisory-3cx-softphone-telephony-campaign?fbclid=IwAR2Ttf8ATxlg9K2zEIQSrTfIk4bYsE9zZBTfFLW-fFnm_9x22FNny9O5dhk

Dateihashes:

• 72349cf4971607c1bc66314069f0c864e8aa4336a663f2afbc2cb7e852465430
• 5d99efa36f34aa6b43cd81e77544961c5c8d692c96059fef92c2df2624550734
• fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405

Von unseren eigenen Kunden ist keiner betroffen, aber für euch zur Info.


Diese Domains werden von kompromittierten Clients Kontaktiert:
sourceslabs.com
glcloudservice.com
journalideorg.org
msedgepackageinfo.com
msstorageazure.com
msstorageboxes.com
officeaddons.com
officestoragebox.com
pbxcloudeservices.com
akamaicontainer.com
akamaitechcloudservices.com
azuredeploystore.com
azureonlinecloud.com
azureonlinestorage.com
dunamistrd.com
pbxphonenetwork.com
pbxsources.com
qwepoi123098.com
visualstudiofactory.com
zacharryblogs.com
sbmsa.wiki

Weitere Links dazu:
Englisches 3CX Forum
Reddit

Update:
Hier die Offizielle Meldung von 3CX

3CX DesktopApp Security Alert

Hi As many of you have noticed the 3CX DesktopApp has a malware in it. It affects the Windows Electron client for customers running update 7. It was reported to us yesterday night and we are working on an update to the DesktopApp which we will release in the coming hours. The best way to go...

www.3cx.com

 

[bitn]

Statement vom CEO Nick Galea aus dem Englischen Forum:

So unfortunately its true. We are issuing a new MSI and one is going to need to reinstall it

Meanwhile please use PWA

We are working on the new client build after which we will issue more information

 

[bitn2]

Spannenderweise hat meine App den Hash

• 5d99efa36f34aa6b43cd81e77544961c5c8d692c96059fef92c2df2624550734

Aber Virus Total findet alles harmlos...

Na das wird ja ein toller Tag heute....

 

[Luke2022]

Moin,
da kommt Freude auf ...

Gibt es bereits Informationen ob die alte Legacy App also die 3CXPhoneforwindows auch betroffen ist?

 

[bitn2]

Moin,
da kommt Freude auf ...

Gibt es bereits Informationen ob die alte Legacy App also die 3CXPhoneforwindows auch betroffen ist?

Das soll nur die Desktop App betreffen die auf Elektron basiert.

 

[mike_71]

Hallo Zusammen,
wir sind wie folgt vorgegangen:

3cx Desktop app deinstalliert
Version 3CesktopApp-18.11.1213.msi installiert
\AppData\Local\Programs\3CesktopApp\app\update.exe umbenannt in update.exe.old damit keine Updates mehr installiert werden.

Vielleicht kann das hier Jemand bestätigen das das ein Workaround ist?

Gruß Mike

 

[bitn2]

Hallo Zusammen,
wir sind wie folgt vorgegangen:

3cx Desktop app deinstalliert
Version 3CesktopApp-18.11.1213.msi installiert
\AppData\Local\Programs\3CesktopApp\app\update.exe umbenannt in update.exe.old damit keine Updates mehr installiert werden.

Vielleicht kann das hier Jemand bestätigen das das ein Workaround ist?

Gruß Mike

Nein, definitiv deinstallieren und nur die PWA nutzen. Das ist der offizielle Vorgang.

 

[3cx_user_333]

gibt es evtl. ein parameter zum schnellen de-installieren?

setup.exe -u

 

[bitn2]

Rechtsklick deinstallieren, ist glaube ich schneller als irgend was eingeben... Wir arbeiten grad an einem Script.

EDIT: wichtig ist noch die Ordner in Roaming und Local zu löschen falls vorhanden.

 

[coLumBo]

der Client is nur vorhanden wenn man schon auf Update 7 gegangen ist? bei allen anderen Kunden kann ich nichts erkennen

 

[bitn2]

der Client is nur vorhanden wenn man schon auf Update 7 gegangen ist? bei allen anderen Kunden kann ich nichts erkennen

Ja die Version 18.12.X kam erst mit U7

 

[3cx_user_333]

info: watchguard utm firewall: ...bei application controll oder webblocker kann man 3cx nicht blocken

 

[bitn]

Wir haben mal was auf die Schnelle per Powershell geschrieben:

Stop-Process -name 3CX* -Force
$application = Get-WmiObject -Class Win32_Product -Filter "Name = '3CX Desktop APP'"
$application.Uninstall()
Remove-Item C:\Users\$env:UserName\AppData\Roaming\3CXDesktopApp -Recurse
Remove-Item C:\Users\$env:UserName\AppData\Local\Programs\3CXDesktopApp -Recurse

 

[coLumBo]

wo kriegt man denn den alten Client her? hab grad unseren beim Kunden installiert. 18.11.1213 und dann mit einem User Provisioniert. Dadurch wurde der Client dann wieder auf 18.12.416 hochgestuft und sofort durch ESET Gelöscht

OK grad gesehen das es da noch keine Lösung gibt.

 

[Hermicus]

Ich habe Euch mal div. alte Versionen hier bereitgestellt. ich denke die V16 ist nicht betroffen. bzw. hier schlägt bei uns ESET nicht Alarm.

3cx

MagentaCLOUD - Alle Dateien sicher an einem Ort

magentacloud.de

 

[coLumBo]

Hab ich das jetzt richtig verstanden das alle Versionen des Desktop Clients betroffen sind?

 

[Luke2022]

Aktuell scheint es nur Version 18.12.407 & 18.12.416 zu sein, ansage von 3CX ist allerdings Apps deinstallieren und die PWA also den Webclient zu nutzen.

3CX DesktopApp Security Alert

We regret to inform our partners and customers that our electron windows app shipped in Update 7, version numbers 18.12.407 & 18.12.416, includes a security issue. Anti Virus vendors have flagged the executable 3CXDesktopApp.exe and in many cases uninstalled it. The issue appears to be one of...

www.3cx.com

 

[prointernet-kastellaun]

Moin, also wir haben in der ATP der Sophos auch einen Mac 3CX Client der die URLS anfunkt.. Ist der Mac Client also doch betroffen?

 

[bitn2]

Moin, also wir haben in der ATP der Sophos auch einen Mac 3CX Client der die URLS anfunkt.. Ist der Mac Client also doch betroffen?

Anhang anzeigen 11360

Ja, siehe die offiziellen Kanäle von 3CX. Es betrifft die Desktop App, egal ob Windows oder Mac.

 

[prointernet-kastellaun]

echt? hab ich das überlesen? wo steht das?