ConnectWise hat ScreenConnect-Benutzer über eine Schwachstelle bei der Überprüfung kryptografischer Signaturen gewarnt, die einen unbefugten Zugriff und die Eskalation von Privilegien ermöglichen können. Der Ausfall betrifft die Versionen vor 26.1 und wurde in der Sicherheitsdatenbank als CVE-2026-3564, die eine kritische Schwere erzielte. ScreenConnect ist eine Fernzugriffsplattform, die von Managed Service Providern (MSP), IT-Abteilungen und Support-Ausrüstungen weit verbreitet wird und von ConnectWise Cloud-hosted oder lokal auf den Servern der Kunden eingesetzt werden kann.
Der Kern des Problems ist der Schutz von ASP. NET Maschinenschlüssel. Diese Tasten werden verwendet, um geschützte Werte zu unterzeichnen und zu verschlüsseln, die die Anwendung verwendet, um Sitzungen zu authentifizieren und sensible Daten zu schützen. Ist ein Gegner in der Lage, dieses geheime Material zu extrahieren, könnte er geschützte Werte schmieden oder ändern, so dass der Server sie als legitim akzeptiert, mit dem Ergebnis der Eingabe von fremden Sitzungen oder der Ausführung von Aktionen mit hohen Genehmigungen innerhalb der begangenen Instanz. Die Kontrolle der Maschinenschlüssel zu verlieren ist, die Fähigkeit zu verlieren, legitime Token von manipulierten Token zu unterscheiden. Um besser zu verstehen, wie diese Schlüssel funktionieren und warum sie kritisch sind, können Sie Microsoft-Dokumentation auf dem MachineKey-Element in ASP sehen. NET: Lernen.microsoft.com.
ConnectWise hat die Sicherheitslücke durch die Stärkung des Schutzes und der Speicherung dieser Schlüssel in ScreenConnect 26.1, einschließlich Restverschlüsselung und engere Handhabung von Geheimnissen angesprochen. Proaktiv wurden Cloud-Plattform-Benutzer bereits auf die sichere Version migriert, aber Manager, die On-Premises-Einstellungen bedienen, sollten das Update auf Version 26.1 so schnell wie möglich anwenden, um das Belichtungsfenster zu schließen. Die offizielle Notiz mit den Details und Empfehlungen des Herstellers ist im Sicherheitsheft von ConnectWise erhältlich: ConnectWise ScreenConnect Kugel und auf seiner allgemeinen Mitteilungsseite: ConnectWise Beratung.
Neben der technischen Korrektur hat ConnectWise gewarnt, dass es Anzeichen von Versuchen gibt, Maschinenschlüssel in der realen Welt zu missbrauchen und die Bedrohung von theoretisch zu greifbar zu verwandeln. Das Unternehmen erklärte den Medien jedoch, dass es zumindest bis zum Zeitpunkt seiner Mitteilung keine Beweise für die aktive Ausbeutung von CVE-2026-3564 in seinen häuslichen Fällen hat, so dass es keine geprüften Verpflichtungsindikatoren (IoC) liefern kann. ConnectWise ermutigt auch Forscher, bösartige Aktivitäten im Zusammenhang mit der verantwortungsvollen Offenlegung zu identifizieren, um Ergebnisse zu validieren und zu mildern.
Parallel zur offiziellen Mitteilung sind Forderungen in sozialen Netzwerken und Foren zur aktiven Ausbeutung entstanden, einschließlich einer X-basierten Veröffentlichung, die einen langfristigen Einsatz von mit China verbundenen Akteuren nahelegt; dies ist nicht öffentlich verifiziert und es ist nicht klar, ob es auf denselben Misserfolg verweist. Die hier genannte Veröffentlichung kann überprüft werden: X Anspruch. Es sei daran erinnert, dass in den letzten Jahren bereits Verpflichtungen im Zusammenhang mit geheimen Schlüsseln in ScreenConnect dokumentiert worden sind: beispielsweise Angriffe, die die Sicherheitslücke nutzten, die als CVE-2025-3935 Schlüssel aus ScreenConnect-Servern zu extrahieren.
Wenn Sie eine Umgebung mit ScreenConnect verwalten, ist die erste notwendige Aktion, um das Update auf Version 26.1 auf On-Spot-Systemen anzuwenden, die nicht automatisch ausgewandert wurden. Jenseits des Patches wird empfohlen, die Steuerungen um die Konfigurationsdateien und geheime Speicher zu überprüfen und zu verschärfen, den Zugriff auf alte Backups und Snapshots zu begrenzen, die Audit-Daten auf der Suche nach ungewöhnlichen Authentifizierungsmustern zu prüfen und die Ergänzungen und Erweiterungen bis zum aktuellen Stand zu halten. Diese Maßnahmen verringern das Potenzial für eine versehentliche Filtration oder einen seitlichen Zugang, um ein Schlüssel zu einem größeren Spalt zu werden.
Die Situation zeigt auch einen operativen Aspekt: Viele Organisationen verlassen sich auf Lieferanten und Remote-Support-Tools, um kritische Infrastruktur zu verwalten, und ein Ausfall im Schutz von geheimen Schlüsseln setzt nicht nur die Software selbst, sondern die Menge der Kunden, die davon abhängig sind. Managed Lieferanten und IT-Ausrüstung müssen davon ausgehen, dass die Bedrohung ernst ist und dringend handelt, die Politik des Zugangs und des Schutzes von Geheimnissen aktualisiert, geprüft und überprüft. Wenn Vektoren permanente Geheimnisse passieren - wie Maschinenschlüssel - periodische Rotation und verschlüsselte Speicherung mit körnigen Zugriffskontrollen sind Praktiken, die Teil des Betriebsstandards sein sollten.
Um dem Thread dieser Sicherheitslücke zu folgen und offizielle Kommunikation zu überprüfen, enthalten die empfohlenen Quellen den Eintrag in die NVD-Datenbank zur Sicherheitslücke ( CVE-2026-3564), der ConnectWise-Newsletter auf ScreenConnect und Presseberichte, die sich auf BlepingComputer die den Vorfall und die Aussagen des Herstellers umfassten. Die Unterrichtung und Anwendung der empfohlenen Korrekturen ist zu dieser Zeit die beste Verteidigung für Organisationen, die von ScreenConnect abhängen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...