Die Remote-Desktop-Software Screenconnect von Connectwise enthält eine Sicherheitslücke, die Angreifern das Einschleusen und Ausführen von Schadcode ermöglicht. Der Hersteller bietet Software-Updates zum Schließen des Sicherheitslecks an.
In einer Sicherheitsmitteilung warnt Connectwise vor der Schwachstelle. Ein CVE-Schwachstelleneintrag fehlt bislang, aber die Beschreibung lautet, dass eine sogenannte ViewState-Code-Injection-Schwachstelle Angreifern das Einschleusen und Ausführen von Schadcode ermöglicht; die Risikobewertung liefert einen CVSS-Wert von 8.8, Risiko "hoch", und verpasst die Einstufung als kritisch somit nur knapp. Web-Forms in ASP.NET nutzen ViewState für das Speichern und Kontrollieren des Zustands einer Webseite. Die dafür nötigen Daten kodiert das System mit Base64 und schützt es mit Verschlüsselung mit maschinenweiten Keys.
Um an diese Maschinen-Keys zu gelangen, müssen Angreifer zunächst erhöhte Zugriffsrechte erlangen, erklärt Connectwise weiter. Sofern die Maschinen-Keys kompromittiert sind, können Angreifer bösartige ViewStates für die Webseite generieren und damit Schadcode aus dem Netz auf dem Server ausführen.
Das Update auf Screenconnect 25.2.4 oder neuer stopft das Sicherheitsleck, es ist etwa auf der Download-Seite von Connectwise verfügbar. Es deaktiviert ViewState schlicht und entfernt die Abhängigkeiten davon. Die Sicherheitsmeldung liefert noch weitere Hinweise, etwa zur Versionsprüfung oder wie die Aktualisierung von On-Premises-Systemen mit und ohne aktiver Maintenance ablaufen. IT-Verantwortliche sollten aufgrund des Schweregrads der Lücke die Aktualisierung schnell anwenden.
Ende Februar 2024 haben Kriminelle eine Sicherheitslücke in Connectwise Screenconnect missbraucht und darüber Ransomware verteilt. Kurz zuvor tauchte im Internet Proof-of-Concept-Exploitcode auf. Die Schwachstelle hatte jedoch die Einstufung als kritisches Risiko mit der Höchstwertung CVSS 10.0 erhalten.
(
Kommentare