ConnectWise a averti les utilisateurs de ScreenConnect d'une vulnérabilité dans la vérification des signatures cryptographiques qui peut permettre un accès non autorisé et l'escalade des privilèges. L'échec affecte les versions antérieures à 26.1 et a été enregistré dans la base de données de vulnérabilité comme CVE-2026-3564, qui a obtenu un score de gravité critique. ScreenConnect est une plate-forme d'accès à distance largement utilisée par les fournisseurs de services gérés (MSP), les services informatiques et les équipements de support, et peut être hébergée en nuage par ConnectWise ou déployée localement sur les serveurs des clients.
La protection des ASP est au cœur du problème. Les clés de la machine NET. Ces clés sont utilisées pour signer et chiffrer les valeurs protégées que l'application utilise pour authentifier les sessions et sauvegarder les données sensibles. Si un opposant est en mesure d'extraire ce matériel secret, il pourrait forger ou modifier des valeurs protégées afin que le serveur les accepte comme légitimes, avec le résultat d'entrer dans des sessions étrangères ou d'exécuter des actions avec des permis élevés dans l'instance engagée. Perdre le contrôle des clés de la machine est de perdre la capacité de distinguer les jetons légitimes des jetons manipulés. Pour mieux comprendre comment ces clés fonctionnent et pourquoi elles sont critiques, vous pouvez voir la documentation de Microsoft sur l'élément machineKey dans ASP. NET: learn.microsoft.com.
ConnectWise a traité la vulnérabilité en renforçant la protection et le stockage de ces clés dans ScreenConnect 26.1, y compris le cryptage du repos et le traitement plus serré des secrets. Proactivement, les utilisateurs de la plate-forme cloud ont déjà été migrés vers la version sécurisée, mais les gestionnaires opérant sur site devraient appliquer la mise à jour à la version 26.1 dès que possible pour fermer la fenêtre d'exposition. La note officielle avec les détails et les recommandations du fabricant est disponible dans le bulletin de sécurité de ConnectWise: Bulletin ConnectWise ScreenConnect et sur sa page d'information générale: Conseils ConnectWise.
En plus de la correction technique, ConnectWise a averti qu'il y a des signes de tentatives d'abus des clés de machine dans le monde réel, transformant la menace de théorique à tangible. Cependant, la société a dit aux médias qu'au moins jusqu'au moment de sa communication, elle n'avait aucune preuve confirmée d'exploitation active de CVE-2026-3564 dans ses instances hébergées, de sorte qu'elle ne pouvait pas fournir d'indicateurs d'engagement vérifiés (IoC). ConnectWise encourage également les chercheurs à identifier les activités malveillantes liées à la divulgation responsable afin de valider et d'atténuer les constatations.
Parallèlement à la communication officielle, des demandes sont apparues sur les réseaux sociaux et les forums sur l'exploitation active, y compris une publication basée sur les X qui suggère l'utilisation à long terme par les acteurs liés à la Chine; cela n'est pas publiquement vérifié et il n'est pas clair si elle indique le même échec. La publication mentionnée ici peut être revue: X réclamation. Il convient de rappeler que, ces dernières années, les engagements relatifs aux clés secrètes ont déjà été documentés dans ScreenConnect : par exemple, les attaques qui ont profité de la vulnérabilité identifiée comme CVE-2025-3935 pour extraire les clés des serveurs ScreenConnect.
Si vous gérez un environnement en utilisant ScreenConnect, la première action nécessaire est de programmer et d'appliquer la mise à jour à la version 26.1 sur les systèmes sur place qui n'ont pas été automatiquement migrés. Au-delà du patch, il est recommandé d'examiner et de renforcer les contrôles autour des fichiers de configuration et des magasins secrets, de limiter l'accès aux anciennes sauvegardes et instantanés, de vérifier les dossiers à la recherche de modèles d'authentification inhabituels et de garder les suppléments et les extensions à jour. Ces mesures réduisent le risque de filtration accidentelle ou d'accès latéral pour devenir la clé d'un écart plus important.
La situation montre également un aspect opérationnel : de nombreuses organisations comptent sur les fournisseurs et les outils de soutien à distance pour gérer les infrastructures essentielles, et un échec dans la protection des clés secrètes expose non seulement le logiciel lui-même, mais l'ensemble des clients qui en dépendent. Les fournisseurs gérés et le matériel informatique doivent supposer que la menace est grave et agir d'urgence, mettre à jour, vérifier et examiner les politiques d'accès aux secrets et de protection de ces derniers. Lorsque les vecteurs traversent des secrets permanents - tels que les clés de machine - la rotation périodique et le stockage crypté avec des contrôles d'accès granulaires sont des pratiques qui devraient faire partie de la norme d'exploitation.
Pour suivre le fil conducteur de cette vulnérabilité et vérifier les communications officielles, les sources recommandées incluent l'entrée dans la base de données NVD pour la vulnérabilité ( CVE-2026-3564), le bulletin ConnectWise sur ScreenConnect et les rapports de presse spécialisés dans Calculateur qui couvrait l'incident et les déclarations du fabricant. Garder informé et appliquer les corrections recommandées est, à l'heure actuelle, la meilleure défense pour les organisations qui dépendent de ScreenConnect.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...