Die Schwachstelle CVE-2026-3564 betrifft die Art und Weise, wie ScreenConnect die einzigartigen Machine Keys verwaltete. Diese wurden bislang in den Server-Konfigurationsdateien abgelegt, was sie in bestimmten Szenarien für eine Exfiltration angreifbar machte. Angreifer hätten so an das kryptografische Material gelangen können, mit dem Sitzungen authentifiziert werden.
Mit ScreenConnect 26.1 führt ConnectWise nach eigenen Angaben erweiterte Schutzmaßnahmen für die Behandlung der Machine Keys ein. In seinem Sicherheitshinweis schreibt das Unternehmen, die Version biete “verschlüsselte Speicherung und Verwaltung und verringere das Risiko eines unbefugten Zugriffs in Szenarien, in denen die Integrität des Servers beeinträchtigt sein könnte”.
In einem separaten Hinweis erklärt ConnectWise, dass es Kenntnis von Versuchen habe, offengelegtes ASP.NET-Machine-Key-Material zu missbrauchen. Dieses Material dient dazu, geschützte Anwendungsdaten zu signieren und zu validieren. Angreifer könnten es nutzen, um ihre Rechte innerhalb von ScreenConnect auszuweiten und auf aktive Sitzungen zuzugreifen – was bis zur Kompromittierung des Servers führen kann.
“Wird das Machine-Key-Material einer ScreenConnect-Instanz offengelegt, kann ein Angreifer möglicherweise geschützte Werte so erzeugen oder verändern, dass die Instanz sie als gültig akzeptiert. Das kann zu unbefugtem Zugriff und unbefugten Aktionen innerhalb von ScreenConnect führen”, so das Unternehmen.
Laut Bericht soll die Lücke über Jahre hinweg von chinesischen staatlich unterstützten Hackern ausgenutzt worden sein. ConnectWise erklärt jedoch, keine Belege zu haben, die diese Behauptungen stützen. Ein Sprecher sagte gegenüber SecurityWeek, die Verweise im Sicherheitshinweis bezögen sich auf die laufenden Bemühungen, ScreenConnect abzusichern – einschließlich Härtungsmaßnahmen rund um die Nutzung und Verwaltung von ASP.NET-Machine-Key-Material. Diese Arbeit sei Teil einer breiteren Initiative, um die Angriffsfläche zu verringern und die Produktsicherheit zu erhöhen, gestützt auf kontinuierliche interne Prüfungen und Lehren aus früheren Branchenereignissen.
Nutzern empfiehlt ConnectWise, schnellstmöglich auf Version 26.1 zu aktualisieren, die Zugriffsrechte zu überprüfen, den Zugang zu Konfigurationsdateien und Backups einzuschränken sowie die Protokolle auf ungewöhnliche Aktivitäten zu überwachen.
