ConnectWise avertit ses clients d’une vulnérabilité de vérification de signature cryptographique dans ScreenConnect pouvant permettre un accès non autorisé et une élévation de privilèges.
Selon BleepingComputer, ConnectWise met en garde les clients de ScreenConnect au sujet d’une vulnérabilité de vérification de signature cryptographique susceptible d’entraîner un accès non autorisé et une élévation de privilèges. ⚠️
ConnectWise ScreenConnect : faille critique de vérification cryptographique (CVE-2026-3564)
Résumé
ConnectWise a publié un correctif pour CVE-2026-3564, une vulnérabilité critique affectant ScreenConnect dans les versions antérieures à 26.1. Le problème peut permettre un accès non autorisé et une élévation de privilèges si un attaquant parvient à obtenir le matériel cryptographique serveur utilisé pour l’authentification de session. ConnectWise a renforcé la protection des ASP.NET machine keys dans la version 26.1, notamment via un stockage chiffré et une meilleure gestion des clés. :contentReference[oaicite:0]{index=0}
Versions concernées
- Affectées : toutes les versions ScreenConnect < 26.1
- Corrigées :
- ScreenConnect 26.1 et ultérieures
- Les environnements cloud hébergés par ConnectWise ont été migrés automatiquement
- Les déploiements on-premise doivent être mis à jour manuellement. :contentReference[oaicite:1]{index=1}
Impact
Si le matériel de clé machine d’une instance ScreenConnect est divulgué, un acteur malveillant peut générer ou modifier des valeurs protégées acceptées comme valides par l’instance, ce qui peut mener à :
- contournement d’authentification
- prise de session / accès non autorisé
- actions administratives non autorisées
- élévation de privilèges. :contentReference[oaicite:2]{index=2}
État de l’exploitation
ConnectWise indique avoir observé des tentatives d’abus de matériel ASP.NET machine key divulgué dans la nature, ce qui rend le risque immédiat et concret. En revanche, l’éditeur dit ne pas avoir de preuve confirmée d’exploitation de cette CVE précise sur ses instances hébergées au moment de sa communication, et ne publie donc pas d’IoC confirmés. :contentReference[oaicite:3]{index=3}
TTPs / Risques associés
Cette faille ne repose pas sur une chaîne d’exploitation détaillée publiée par l’éditeur, mais le scénario de risque est clair :
- récupération ou exposition de server-level cryptographic material
- génération de valeurs d’authentification valides
- session hijacking / authentification non autorisée
- actions privilégiées sur la plateforme d’accès distant. :contentReference[oaicite:4]{index=4}
IoCs
À ce stade :
- aucun IoC confirmé publié par ConnectWise
- l’éditeur recommande de surveiller :
- les logs d’authentification inhabituels
- les actions administratives inattendues
- tout accès anormal aux fichiers de configuration et aux secrets
- les sauvegardes et anciens snapshots pouvant contenir des clés. :contentReference[oaicite:5]{index=5}
Recommandations
- Mettre à jour immédiatement toutes les instances on-premise vers ScreenConnect 26.1 ou plus récent. :contentReference[oaicite:6]{index=6}
- Restreindre l’accès aux fichiers de configuration, secrets et sauvegardes susceptibles de contenir les machine keys. :contentReference[oaicite:7]{index=7}
- Examiner les journaux pour détecter des connexions ou actions d’administration anormales. :contentReference[oaicite:8]{index=8}
- Mettre à jour les extensions et maintenir ScreenConnect sur une version supportée et à jour. :contentReference[oaicite:9]{index=9}
Il s’agit d’un article d’alerte sur une vulnérabilité, visant principalement à informer les clients des risques potentiels liés à cette faiblesse.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/connectwise-patches-new-flaw-allowing-screenconnect-hijacking/