Die Schwachstelle setzt an den ASP.NET-Maschinenschlüsseln einer ScreenConnect-Instanz an. Gelangt dieses Schlüsselmaterial in falsche Hände, lassen sich geschützte Werte so erzeugen oder verändern, dass die Instanz sie als gültig akzeptiert. „Das kann zu unbefugtem Zugriff und unbefugten Aktionen innerhalb von ScreenConnect führen", heißt es in der Sicherheitsmeldung des Herstellers.

ConnectWise begegnet dem Problem mit einem stärkeren Schutz der Maschinenschlüssel: Ab Version 26.1 werden sie verschlüsselt gespeichert und sicherer verarbeitet. Cloud-Kunden hat der Anbieter bereits automatisch auf die geschützte Version verschoben. Wer ScreenConnect lokal auf eigenen Servern betreibt, muss das Upgrade auf Version 26.1 selbst und möglichst rasch durchführen.

Nach Angaben von ConnectWise haben Forscher in freier Wildbahn Versuche beobachtet, offengelegtes ASP.NET-Schlüsselmaterial zu missbrauchen — das Risiko aus CVE-2026-3564 ist damit aktuell greifbar. Gegenüber BleepingComputer erklärte der Hersteller jedoch, es gebe zum Zeitpunkt der Veröffentlichung keine Hinweise auf eine aktive Ausnutzung genau dieser Schwachstelle und folglich auch keine Kompromittierungsindikatoren (IoCs), die man Verteidigern weitergeben könne.

„Wir haben keine Belege dafür, dass diese konkrete Schwachstelle (CVE-2026-3564) in von ConnectWise gehostetem ScreenConnect ausgenutzt wurde, daher können wir keine bestätigten IoCs teilen", teilte ConnectWise BleepingComputer mit. Forscher, die eine aktive Ausnutzung vermuten, ruft der Hersteller dazu auf, sich im Rahmen einer verantwortungsvollen Offenlegung zu melden, damit die Erkenntnisse geprüft und angemessen behandelt werden können.

Es gibt allerdings Behauptungen, das Problem werde bereits seit Jahren von chinesischen Hackern aktiv ausgenutzt; unklar bleibt jedoch, ob dabei dieselbe Schwachstelle zum Einsatz kam. In der Vergangenheit gab es bereits Angriffe staatlich unterstützter Akteure, die über CVE-2025-3935 die geheimen Maschinenschlüssel eines ScreenConnect-Servers stahlen.

Neben dem Upgrade auf Version 26.1 empfiehlt ConnectWise weitere Maßnahmen: den Zugriff auf Konfigurationsdateien und Geheimnisse einzuschränken, Protokolle auf ungewöhnliche Authentifizierungsaktivitäten zu prüfen, Backups und alte Datensicherungen zu schützen sowie Erweiterungen aktuell zu halten.