SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Sicherheitslücke in ScreenConnect: Angreifer könnten Fernzugriff kapern

Kritische Sicherheitslücke in ScreenConnect: Angreifer könnten Fernzugriff kapern
Zusammenfassung

ConnectWise hat eine kritische Sicherheitslücke in seiner Remote-Access-Plattform ScreenConnect entdeckt, die es Angreifern ermöglicht, sich unberechtigt Zugriff zu verschaffen und ihre Privilegien zu erweitern. Die als CVE-2026-3564 katalogisierte Schwachstelle betrifft alle ScreenConnect-Versionen vor 26.1 und basiert auf einem unzureichenden Schutz kryptografischer Signaturen. Sie ermöglicht es Bedrohungsakteuren, die ASP.NET-Schlüssel eines Systems zu extrahieren und zu missbrauchen, um sich als legitime Benutzer auszugeben. ScreenConnect ist eine weit verbreitete Lösung für IT-Support und Remote-Wartung, die von Managed Service Providern, Unternehmens-IT-Abteilungen und Supportteams weltweit eingesetzt wird. In Deutschland betrifft dies potenziell zahlreiche mittelständische und große Unternehmen sowie öffentliche Institutionen, die auf ScreenConnect für ihre IT-Infrastruktur angewiesen sind. Zwar liegen ConnectWise bislang keine Belege für aktive Exploits vor, doch wurden bereits Versuche beobachtet, bekannte ASP.NET-Schlüssel auszunutzen. Cloud-Kunden wurden automatisch auf die sichere Version aktualisiert, Administratoren von On-Premise-Installationen müssen jedoch sofort handeln und auf Version 26.1 upgraden.

Die Sicherheitslücke zielt auf einen fundamentalen Mechanismus ab: die ASP.NET Machine Keys von ScreenConnect. Diese Schlüssel sind essentiell für die sichere Authentifizierung von Sitzungen. Gelingt es Angreifern, diese Schlüssel zu extrahieren oder zu manipulieren, können sie eigene Sessions generieren und sich damit als legitime Nutzer ausgeben — mit allen daraus folgenden Konsequenzen für die Sicherheit.

ConnectWise beschreibt in seiner Sicherheitsmitteilung: “Falls das Machine-Key-Material einer ScreenConnect-Instanz offengelegt wird, könnten Bedrohungsakteure geschützte Werte auf Weise generieren oder modifizieren, die die Instanz als gültig akzeptiert. Dies kann zu unbefugtem Zugriff und unbefugten Aktionen führen.”

Besonders beunruhigend: Forscher haben bereits versuche beobachtet, offengelegte ASP.NET Machine Keys auszunutzen. Auch wenn ConnectWise derzeit keine bestätigten aktiven Exploits im Wildnis meldet, ist die Gefahr real und unmittelbar.

Die Lösung liegt in Version 26.1, die stärkere Schutzmaßnahmen implementiert: verschlüsselte Speicherung der Machine Keys und verbessertes Key-Management. Cloud-Kunden wurden bereits automatisch auf diese sichere Version migriert. Für On-Premise-Betreiber gilt jetzt höchste Priorität beim Update.

ConnectWise empfiehlt parallel weitere Schutzmaßnahmen: Zugriff auf Konfigurationsdateien und Secrets restriktiv beschränken, Logs auf verdächtige Authentifizierungsaktivitäten überwachen, Backups und alte Snapshots schützen und Extensions auf den neuesten Stand bringen.

Hintergrund: Es gibt Berichte, wonach chinesische Hacker die Lücke bereits seit Jahren ausnutzen sollen — allerdings ist unklar, ob es sich um CVE-2026-3564 oder eine ähnliche Schwachstelle handelt. Besonders eindrücklich: In der Vergangenheit exploitierten Regierungshacker bereits die Sicherheitslücke CVE-2025-3935, um Machine Keys von ScreenConnect-Servern zu stehlen.

Deutschen Unternehmen, insbesondere MSPs und IT-Abteilungen, wird dringend geraten, ScreenConnect-Deployments auf den aktuellen Stand zu prüfen und Updates zeitnah einzuspielen.

Ähnliche Artikel