Sidebar Sidebar

Sicherheitswarnung zur 3CX Desktop App

corinawerner

corinawerner

Teammitglied
Mitglied seit
2. Mai 2017
Beiträge
166
UPDATE: Die Liste der Mac-Versionen wurde am 4. April um 10 Uhr (MEZ) aktualisiert, um zu darauf hinzuweisen, dass eine dieser Versionen mit Update 6 ausgeliefert wurde. Wir bedauern, unsere Partner und Kunden darüber informieren zu müssen, dass unsere in Update 7 ausgelieferte Electron Windows-App mit den Versionsnummern 18.12.407 und 18.12.416 ...
Zum Vergrößern anklicken....
Original-Blogpost weiterlesen
 
Zuletzt bearbeitet von einem Moderator:
Hallo, ich frage mich, ob die Deinstallation des Clients sinnlos ist? Das System wird ja anscheinend schon bei der Installation des Clients befallen und die entsprechende Schadsoftware geladen. Der Ratschlag den Client zu entfernen wiegt doch dann die User in falscher Sicherheit. Tatsächlich muss doch dann der ganze Rechner in Quarantäne und neu installiert werden. Habt ihr denn noch keine weiteren Erkenntnisse um eine Infizierung festzustellen?

Weitere Infos wären wirklich sehr hilfreich. Bei uns bricht grade Panik in den einzelnen IT-Abteilungen aus.
 
Hallo,
wir setzen TrendMicro ein, er erkennt die zwei Trojaner erst bei der Deinstallation des 3cx Clients. Welche Schritte wären jetzt richtig. Kompletter Systemscan läuft bereits. Passwörter werden geändert. Was genau tut dieser Trojaner? Was soll man noch prüfen?
 
Hallo!
Gibt es bzgl. der betroffenen Versionen inzwischen mehr Klarheit? In bleepingcomputer.com wird erwähnt:
"Customers report that the security alerts are triggered after installing the 3CXDesktopApp 18.12.407 and 18.12.416 Windows versions or the 18.11.1213 and the latest version on Macs."

Wie verhält es sich nun speziell für die Version 18.11.1213 auf Windows und Mac?

Außerdem sei das amerikanische Forum zum Lesen empfohlen. Dort wurde das Problem offenbar schon früher diskutiert.
Vielen Dank für die Aufklärung. Auch hier ist gerade großer Alarm.
 
Mir ist aufgefallen, dass die Version 18.12.416 weiterhin heruntergeladen werden kann.
Denke es macht sehr wohl Sinn, die Source bis auf weiteres abzudrehen.
Bitte, danke!
 
icom schrieb:
Hallo,
wir setzen TrendMicro ein, er erkennt die zwei Trojaner erst bei der Deinstallation des 3cx Clients. Welche Schritte wären jetzt richtig. Kompletter Systemscan läuft bereits. Passwörter werden geändert. Was genau tut dieser Trojaner? Was soll man noch prüfen?
Zum Vergrößern anklicken....
Hier mal nachlesen:
news.sophos.com

Telefonsystem 3CX weltweit für DLL-Sideloading-Angriff genutzt

Zurzeit sorgt eine trojanisierte Version der beliebten VOIP/PBX-Software 3CX für Schlagzeilen. Das Geschäftstelefonsystem wird weltweit von Unternehmen in 190 Ländern genutzt. Bei der Attacke schei…
news.sophos.com
 
Vielen Dank für Eure rege Diskussion, leider ist das Thema nicht so toll.

Nutzt bitte die PWA App und folgt den Anweisungen im Blog Post. Sobald wir weitere Informationen oder Updates haben, werden wir Euch umgehend informieren.

Wir tun alles um Euch so schnell wie möglich eine Lösung anzubieten.
 
MarcusK_3CX schrieb:
Vielen Dank für Eure rege Diskussion, leider ist das Thema nicht so toll.

Nutzt bitte die PWA App und folgt den Anweisungen im Blog Post. Sobald wir weitere Informationen oder Updates haben, werden wir Euch umgehend informieren.

Wir tun alles um Euch so schnell wie möglich eine Lösung anzubieten.
Zum Vergrößern anklicken....

Alles mögliche zu tun, heißt hier im ersten Schritt für eine breite Kommunikation zu sorgen und die Kunden vor weiterem Schaden zu bewahren.

Warum wurden also die Kunden noch nicht Proaktiv per Email informiert?
 
  • Like
Reaktionen: itb, voipsonic-graz, icom und eine weitere Person
Für mich wäre jetzt interessant was nun genau der Trojaner gemacht hat und wie ich das prüfen und beheben kann. App deinstallieren, Virenscan und Passwortänderung. Ist es nun genug? Wie kann man sicher gehen, dass man nichts mehr auf dem System hat. Und was hat er nach Hause geschickt? Wie kriegt man dies raus?
 
  • Like
Reaktionen: itfreundgbr
Wir konnten bei unseren Kunden nach dem Löschen des Clients keine weiteren Torjaner auf den Geräten finden
auch haben die Firewalls nichts weiter erkannt. Bei uns hat der Virenschutz direkt denn Client gekillt, sodass dieser unbrauchbar wahr.
 
Um die Desktop-App via CMD zu deinstallieren könnt ihr folgendes Kommando verwenden:
wmic product where "name like '3CX Desktop App'" call uninstall /nointeractive

Bitte beachtet jedoch, dass dieses Kommando im Kontext des angemeldeten Benutzers ausgeführt werden muss, da die App in Appdata des benutzers installiert ist. Führt ihr das Kommando im Systemkontext aus, dann wird es nicht funktionieren.
 
Wir vermissen auch eine transparentere Kommunikation seitens 3CX!
 
ktpjshalle schrieb:
Wir vermissen auch eine transparentere Kommunikation seitens 3CX!
Zum Vergrößern anklicken....
Folgen Sie einfach den Anweisungen im Blog Post. Dort sind auch eindeutig die betroffenen Versionen genannt. Sobald wir weitere Informationen haben, Workaround, Update etc., werden wir Sie umgehend informieren. Wie transparent wollen Sie es noch?
 
Ich denke das was der Client in der letzten Woche anrichten konnte hat er bereits getan.
Von daher ist es jetzt wichtig zu wissen was er denn in der letzten Woche getan hat um zu wissen was nun zu tun ist.

Also bitte liebes 3cx Team, bringt ein update, welches auf den alten Client updatet um erst mal die Kuh großflächig vom Eis zu bringen.
Wär das nicht erst mal ein proaktiver Anfang?
Es gibt ja auch Kunden welche keine IT Abteilung vor Ort haben.
 
Transparent wäre gewesen, alle Kunden per Mail zu informieren bzw. die Kommunikation breiter gestalten.

Die Problematik ist im US Forum schon länger bekannt! Es gab zumindest seit letzter Woche Beitrage mit ungewöhlichem Verhalten. Seit dem 29.03 ist es bestätigt und man bekommt die Infos aus der Presse, anstatt der Hersteller breit informiert.
 
  • Like
Reaktionen: Luke2022
Dieter.K schrieb:
Ich denke das was der Client in der letzten Woche anrichten konnte hat er bereits getan.
Von daher ist es jetzt wichtig zu wissen was er denn in der letzten Woche getan hat um zu wissen was nun zu tun ist.

Also bitte liebes 3cx Team, bringt ein update, welches auf den alten Client updatet um erst mal die Kuh großflächig vom Eis zu bringen.
Wär das nicht erst mal ein proaktiver Anfang?
Es gibt ja auch Kunden welche keine IT Abteilung vor Ort haben.
Zum Vergrößern anklicken....
Wie gesagt arbeiten die Kollegen gerade daran, so schnell wie möglich eine Lösung zu präsentieren. Welches Vorgehen das beste ist müssen wir den Entwicklern überlassen. Es wird wohl etwas Zeit in Anspruch nehmen, bis dahin bitte den Anweisungen folgen und den PWA oder gar den Webclient nutzen wie beschrieben.
 
comjoinit schrieb:
Um die Desktop-App via CMD zu deinstallieren könnt ihr folgendes Kommando verwenden:
wmic product where "name like '3CX Desktop App'" call uninstall /nointeractive

Bitte beachtet jedoch, dass dieses Kommando im Kontext des angemeldeten Benutzers ausgeführt werden muss, da die App in Appdata des benutzers installiert ist. Führt ihr das Kommando im Systemkontext aus, dann wird es nicht funktionieren.
Zum Vergrößern anklicken....

Hab ich anders gelöst:

Code: 
taskkill /IM "3CXDesktopapp.exe" /f
rmdir C:\Users\%username%\AppData\Local\Programs\3CXDesktopApp /s /q
rmdir C:\Users\%username%\AppData\Roaming\3CXDesktopApp /s /q
rmdir C:\Users\%username%\AppData\Roaming\3CXPhone for Windows /s /q

Wobei der Ordner 3CXPhone for Windows wohl nur mit Adminrechten gelöscht werden kann.
 
ktpjshalle schrieb:
Transparent wäre gewesen, alle Kunden per Mail zu informieren bzw. die Kommunikation breiter gestalten.

Die Problematik ist im US Forum schon länger bekannt! Es gab zumindest seit letzter Woche Beitrage mit ungewöhlichem Verhalten. Seit dem 29.03 ist es bestätigt und man bekommt die Infos aus der Presse, anstatt der Hersteller breit informiert.
Zum Vergrößern anklicken....
In der Regel mögen es Partner nicht, wenn Endkunden direkt kontaktiert werden. Das ist Ihr Job als Partner. Die meisten Anlagen sind auch gar nicht auf den Kunden registriert, sondern auf den Partner. Daher sind wir den Weg über den Blog Post gegangen.
 
MarcusK_3CX schrieb:
In der Regel mögen es Partner nicht, wenn Endkunden direkt kontaktiert werden. Das ist Ihr Job als Partner. Die meisten Anlagen sind auch gar nicht auf den Kunden registriert, sondern auf den Partner. Daher sind wir den Weg über den Blog Post gegangen.
Zum Vergrößern anklicken....
Aber auch da wäre eine Mail sicherlich der korrekte Weg gewesen, wir haben das auch nur durch Zufall gesehen da wir sehr aktiv im Forum sind.
 
  • Like
Reaktionen: Holla_die_Waldfee, Moritz, vieledinge und 3 andere
Um antworten zu können musst du eingeloggt sein.

Einstieg für Admins

Top-Foren

Zurzeit aktive Besucher

Keine Mitglieder online.
Gesamt: 49 (Mitglieder: 0, Gäste: 49)

Statistik des Forums

Themen
21.064
Beiträge
105.873
Mitglieder
70.097
Neuestes Mitglied
Glauco Torres
Holen Sie sich 3CX - völlig kostenlos!

Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX register cta
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Verifizieren Sie Ihre E-Mail-Adresse

Prüfen Sie Ihren Posteingang!

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – Wenn Sie keine Nachricht finden können, dann überprüfen Sie auch Ihren Spam-Ordner.

Oben Unten
Zurück