ScreenConnect

Die Schwachstelle betrifft die Fernwartungssoftware ScreenConnect von ConnectWise. Sie ermöglicht einen sogenannten ViewState-Code-Injection-Angriff. ViewState ist ein Mechanismus von ASP.NET Web Forms, mit dem der Zustand einer Webseite zwischengespeichert wird; die Daten werden dabei kodiert und durch sogenannte Machine Keys kryptografisch abgesichert. Gelangt ein Angreifer in den Besitz dieser Machine Keys, kann er einen manipulierten ViewState erzeugen und an den Server senden – und auf diesem Weg eigenen Code zur Ausführung bringen, also Remotecodeausführung erreichen. Der eigentliche Defekt liegt dabei nicht in der ScreenConnect-Software selbst, sondern im Verhalten der zugrunde liegenden Plattform. Voraussetzung für den Angriff ist allerdings, dass die Machine Keys kompromittiert sind, was wiederum privilegierten Zugriff auf Systemebene erfordert. Die Client-Komponente von ScreenConnect ist davon nicht betroffen; eine spätere Programmversion deaktiviert die ViewState-Nutzung vollständig.