A ConnectWise alertou os clientes do ScreenConnect sobre uma vulnerabilidade na verificação da assinatura criptográfica que pode permitir acesso não autorizado e escalonamento de privilégios.
O problema afeta versões do ScreenConnect anteriores à 26.1 e recebeu a classificação crítica
CVE-2026-3564
.
O ScreenConnect é uma plataforma de acesso remoto amplamente utilizada por provedores de serviços gerenciados (MSPs), departamentos de TI e equipes de suporte.
A solução pode ser hospedada na nuvem pela ConnectWise ou implantada localmente no servidor do cliente.
A falha permite que um atacante extraia e utilize as machine keys do ASP.NET para autenticar sessões de forma indevida.
“Se o material da machine key de uma instância do ScreenConnect for divulgado, um agente malicioso pode gerar ou modificar valores protegidos que serão aceitos como válidos pela instância”, alertou o comunicado oficial da empresa.
“Isso pode resultar em acessos e ações não autorizadas dentro do ScreenConnect.”
Para corrigir a vulnerabilidade, a ConnectWise implementou proteções mais robustas para as machine keys, incluindo armazenamento criptografado e melhorias no seu manuseio a partir da versão 26.1 do ScreenConnect.
Usuários da versão cloud foram atualizados automaticamente para a versão segura.
No entanto, administradores que gerenciam instalações on-premises precisam atualizar para a versão 26.1 com urgência.
A empresa também revelou que pesquisadores identificaram tentativas reais de exploração do material das machine keys do ASP.NET em ambientes externos, o que torna o risco concreto.
Por outro lado, conforme informado à BleepingComputer, não há evidências de exploração ativa em servidores ConnectWise hospedados na nuvem até o momento, nem indicadores de comprometimento (IoCs) disponíveis para divulgação.
“Não temos comprovação de que esta vulnerabilidade (
CVE-2026-3564
) foi explorada em instâncias do ScreenConnect hospedadas pela ConnectWise, portanto não há IoCs confirmados para divulgar”, declarou a empresa.
“Encorajamos pesquisadores que identificarem atividades suspeitas a realizarem divulgações responsáveis para que os achados sejam validados e tratados adequadamente.”
Há, entretanto, relatos de que hackers chineses explorariam essa falha há anos, embora não esteja claro se se trata da mesma vulnerabilidade.
No passado, grupos com apoio estatal utilizaram o
CVE-2025-3935
para roubar as machine keys secretas de servidores ScreenConnect.
Além de atualizar para a versão 26.1, a ConnectWise recomenda reforçar o controle de acesso a arquivos de configuração e segredos, monitorar logs em busca de atividades de autenticação anômalas, proteger backups e snapshots antigos e manter as extensões sempre atualizadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...