ConnectWise waarschuwt gebruikers van ScreenConnect voor een kwetsbaarheid in de cryptografische handtekeningverificatie die ongeautoriseerde toegang en privilege-escalatie kan veroorzaken. De fout treft alle versies van ScreenConnect vóór 26.1 en staat geregistreerd als CVE-2026-3564 met een kritieke ernstscore.

ScreenConnect is een platform voor externe toegang dat veel wordt gebruikt door managed service providers, IT-afdelingen en supportteams. Het kan zowel in de cloud van ConnectWise als on-premise bij klanten worden ingezet. Door misbruik van deze kwetsbaarheid kan een aanvaller de ASP.NET machine keys achterhalen en gebruiken om sessies te authenticeren zonder toestemming. Volgens de waarschuwing van ConnectWise kan het lekken van deze machine keys ertoe leiden dat een aanvaller beschermde waarden kan genereren of aanpassen die door het systeem als geldig worden geaccepteerd, wat resulteert in ongeautoriseerde acties binnen ScreenConnect.

ConnectWise heeft de kwetsbaarheid verholpen door sterkere beveiliging van de machine keys in te voeren, waaronder versleutelde opslag en verbeterde verwerking, vanaf versie 26.1 van ScreenConnect. Cloudgebruikers zijn automatisch overgezet naar de veilige versie, maar beheerders van on-premise installaties worden dringend geadviseerd zo snel mogelijk te upgraden. Onderzoekers hebben pogingen waargenomen om de gelekte machine keys in het wild te misbruiken, waardoor het risico op dit moment reëel is. ConnectWise meldt echter geen bewijs te hebben van actieve exploitatie en kan daarom geen indicatoren van compromittering delen. Het bedrijf roept onderzoekers op om ontdekkingen van actieve misbruikgevallen verantwoord te melden zodat deze kunnen worden geverifieerd en aangepakt.

Er zijn claims dat Chinese hackers de kwetsbaarheid mogelijk al jaren actief zouden misbruiken, maar het is onduidelijk of het om dezelfde fout gaat. Eerder werden soortgelijke aanvallen uitgevoerd door statelijke actoren die een andere kwetsbaarheid (CVE-2025-3935) gebruikten om geheime machine keys van ScreenConnect-servers te stelen. Naast het updaten naar versie 26.1 adviseert ConnectWise ook om de toegang tot configuratiebestanden en geheimen te beperken, logs te controleren op verdachte authenticatiepogingen, back-ups en oude data snapshots te beschermen en extensies up-to-date te houden.