ConnectWise informou os usuários do ScreenConnect sobre uma vulnerabilidade na verificação de assinaturas criptográficas que pode permitir o acesso não autorizado e a escalada de privilégios. A falha afeta as versões anteriores à 26.1 e foi registrada na base de dados de vulnerabilidades como CVE-2026-3564, que obteve pontuação de severidade crítica. ScreenConnect é uma plataforma de acesso remoto muito utilizada por fornecedores de serviços gerenciados (MSP), departamentos de TI e equipamentos de suporte, e pode estar hospedado na nuvem por ConnectWise ou implantado localmente nos servidores dos clientes.
O núcleo do problema está na proteção das chaves de máquina de ASP.NET (machine keys). Estas chaves são usadas para assinar e cifrar valores protegidos que a aplicação usa para autenticar sessões e salvaguardar dados sensíveis. Se um adversário conseguir extrair esse material secreto, poderá forjar ou alterar valores protegidos de forma que o servidor os aceite como legítimos, com o resultado de ingressar em sessões alheias ou executar ações com permissões elevadas dentro da instância comprometida. Perder o controle das machine keys equivale a perder a capacidade de distinguir tokens legítimos de tokens manipulados. Para entender melhor como essas chaves funcionam e por que são críticas, você pode consultar a documentação da Microsoft sobre o elemento machineKey em ASP.NET: learn.microsoft.com.
ConnectWise tem abordado a vulnerabilidade reforçando a proteção e armazenamento dessas chaves em ScreenConnect 26.1, incluindo criptografia em repouso e um manejo mais rigoroso dos segredos. De forma proativa, os usuários da plataforma na nuvem já foram migrados para a versão segura, mas os administradores que operam implantaçãos on-premise devem aplicar a atualização à versão 26.1 o mais rapidamente possível para fechar a janela de exposição. A nota oficial com os detalhes e as recomendações do fabricante está disponível no boletim de segurança do ConnectWise: ConnectWise ScreenConnect bulletin, e na sua página de avisos gerais: ConnectWise advisories.
Além da correção técnica, o ConnectWise alertou que há indícios de tentativas de abuso do material das machine keys no mundo real, o que transforma a ameaça de teórica a tangível. No entanto, a empresa declarou aos meios que, pelo menos até ao momento da sua comunicação, não dispõe de provas confirmadas de exploração ativa de CVE-2026-3564 nas suas instâncias alojadas, pelo que não pode fornecer indicadores de compromisso (IoC) verificados. ConnectWise também encoraja os pesquisadores a identificar atividades maliciosas relacionadas a que realizem divulgação responsável para validar e mitigar achados.
Em paralelo com a comunicação oficial, surgiram reivindicações em redes sociais e fóruns sobre exploração ativa, entre eles uma publicação em X que sugere uso prolongado por atores ligados à China; essa afirmação não está verificada publicamente e não fica claro se ele aponta para a mesma falha. A publicação aqui referida pode ser revista: reclamação em X. Recorde-se que em anos recentes já foram documentados compromissos relacionados com chaves secretas no ScreenConnect: por exemplo, ataques que aproveitaram a vulnerabilidade identificada como CVE-2025-3935 para extrair chaves de servidores ScreenConnect.
Se você administra um ambiente que usa o ScreenConnect, a primeira ação imprescindível é programar e aplicar a atualização à versão 26.1 nos sistemas on-premise que não tenham sido migrados automaticamente. Para além do adesivo, é recomendável rever e endurecer os controles em torno dos arquivos de configuração e armazéns de segredos, limitar o acesso a cópias de segurança e snapshots antigos, auditar os registros em busca de padrões de autenticação incomuns e manter os complementos e extensões atualizados. Estas medidas reduzem as possibilidades de uma filtragem acidental ou de um acesso lateral tornarem-se uma chave comprometida numa lacuna maior.
A situação também mostra um aspecto operacional: muitas organizações confiam em fornecedores e ferramentas de suporte remoto para gerenciar infra-estruturas críticas, e uma falha na proteção de chaves secretas expõe não só o software em si, mas o conjunto de clientes que dependem dele. Os provedores gerenciados e equipes de TI devem assumir que a ameaça é séria e agir com urgência, atualizando, auditando e revisando políticas de acesso e proteção de segredos. Quando os vetores passam por segredos permanentes — como as machine keys — a rotação periódica e o armazenamento criptografado com controles de acesso granulares são práticas que deveriam fazer parte do padrão operacional.
Para seguir o fio desta vulnerabilidade e verificar comunicações oficiais, as fontes recomendadas incluem a entrada na base de dados de NVD para a vulnerabilidade ( CVE-2026-3564), o boletim de ConnectWise sobre ScreenConnect e relatórios de imprensa especializado como BleepingComputer, que cobriu o incidente e as declarações do fabricante. Manter-se informado e aplicar as correções recomendadas é, neste momento, a melhor defesa para as organizações que dependem do ScreenConnect.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...