SchwachstellenHackerangriffeCloud-Sicherheit

Kritische ScreenConnect-Lücke: ConnectWise schließt Sicherheitsloch bei Machine Keys

Kritische ScreenConnect-Lücke: ConnectWise schließt Sicherheitsloch bei Machine Keys
Zusammenfassung

Eine kritische Sicherheitslücke in ScreenConnect, der Remote-Monitoring-Lösung von ConnectWise, gefährdet weltweit Tausende von IT-Fachleuten und Unternehmen. Die als CVE-2026-3564 katalogisierte Schwachstelle mit einem CVSS-Score von 9,0 ermöglichte es Angreifern, auf kryptographische Schlüsselmaterialien zuzugreifen, die für die Authentifizierung von Sitzungen notwendig sind. Das Kernproblem liegt in der bisherigen Speicherung dieser sensiblen Machine Keys in unverschlüsselter Form innerhalb von Serverkonfigurationsdateien. ConnectWise hat nun die Version 26.1 veröffentlicht, die das Sicherheitsrisiko durch verschlüsselte Speicherung und Verwaltung dieser Schlüssel behebt. Besonders besorgniserregend ist, dass das Schwachstellen-Potenzial bereits ausgenutzt wurde – Berichte deuten auf jahrelange Exploitationen durch chinesische staatliche Akteure hin, wobei Angreifer sich damit Privilegien im System sichern und aktive Sitzungen kapern könnten. Für deutsche Unternehmen und Behörden, die ScreenConnect einsetzen, besteht ein erhebliches Risiko. Der unverzügliche Update auf Version 26.1 ist dringend erforderlich, begleitet von einer Überprüfung der Zugriffskontrolle, Einschränkung des Zugangs zu Konfigurationsdateien und intensiver Überwachung von Systemprotokollen auf verdächtige Aktivitäten.

Die Schwachstelle CVE-2026-3564 stellt eine erhebliche Bedrohung für die Sicherheit von ScreenConnect-Installationen dar. Das Problem liegt in der unsicheren Handhabung sogenannter Machine Keys – eindeutiger kryptografischer Schlüssel, die zum Signieren und Validieren geschützter Anwendungsdaten verwendet werden. Wenn diese Schlüssel in die Hände von Angreifern gelangen, können diese geschützte Werte generieren oder manipulieren, die vom System als legitim erkannt werden.

ConnectWise hat in seiner Sicherheitsmitteilung explizit vor den Konsequenzen gewarnt: “Falls das Machine-Key-Material einer ScreenConnect-Instanz offengelegt wird, könnte ein Angreifer geschützte Werte auf Weise generieren oder ändern, die die Instanz als gültig akzeptiert. Dies kann zu unbefugtem Zugriff und unbefugten Aktionen innerhalb von ScreenConnect führen.”

Die neu veröffentlichte Version 26.1 adressiert diese Problematik durch eine grundlegende Architekturänderung: Machine Keys werden nun verschlüsselt gespeichert und verwaltet. Dies reduziert das Risiko erheblich, dass die kritischen kryptografischen Materialien bei Kompromittierung der Serverintegrität exfiltriert werden können. ConnectWise hat CVE-2026-3564 mit einer “hohen” Priorität eingestuft – eine Kategorie, die typischerweise für Sicherheitslücken reserviert ist, die bereits aktiv ausgenutzt werden oder ein hohes Exploitations-Potenzial haben.

Bemerkenswert ist, dass Berichte über eine jahrelange Ausnutzung durch chinesische staatliche Hacker kursierten. ConnectWise dementiert jedoch, Belege für diese Vorwürfe zu haben. Ein Unternehmenssprecher betonte stattdessen, dass die Verbesserungen Teil einer breiteren Sicherheitsinitiative seien, die auf kontinuierlichen internen Reviews und Erkenntnissen aus früheren Branchenereignissen basiert.

Für Administratoren bedeutet das Update eine notwendige, aber auch aufwändige Aufgabe. ConnectWise empfiehlt dringend, sofort auf Version 26.1 zu aktualisieren, Zugriffskontrollrichtlinien zu überprüfen, den Zugang zu Konfigurationsdateien und Backups zu beschränken und Systemprotokolle auf verdächtige Aktivitäten zu überwachen. Unternehmen sollten dieser Empfehlung höchste Priorität einräumen, da ScreenConnect häufig zentral zur Verwaltung kritischer IT-Infrastruktur eingesetzt wird.

Ähnliche Artikel