Die Remote-Desktop-Software Screenconnect von Connectwise enth\u00e4lt eine Sicherheitsl\u00fccke, die Angreifern das Einschleusen und Ausf\u00fchren von Schadcode erm\u00f6glicht. Der Hersteller bietet Software-Updates zum Schlie\u00dfen des Sicherheitslecks an.<\/p>\n
In einer Sicherheitsmitteilung warnt Connectwise<\/a> vor der Schwachstelle. Ein CVE-Schwachstelleneintrag fehlt bislang, aber die Beschreibung lautet, dass eine sogenannte ViewState-Code-Injection-Schwachstelle Angreifern das Einschleusen und Ausf\u00fchren von Schadcode erm\u00f6glicht; die Risikobewertung liefert einen CVSS-Wert von 8.8<\/strong>, Risiko „hoch<\/strong>„, und verpasst die Einstufung als kritisch somit nur knapp. Web-Forms in ASP.NET nutzen ViewState f\u00fcr das Speichern und Kontrollieren des Zustands einer Webseite. Die daf\u00fcr n\u00f6tigen Daten kodiert das System mit Base64 und sch\u00fctzt es mit Verschl\u00fcsselung mit maschinenweiten Keys.<\/p>\n Einschr\u00e4nkungen bei der Ausnutzbarkeit<\/p>\n Um an diese Maschinen-Keys zu gelangen, m\u00fcssen Angreifer zun\u00e4chst erh\u00f6hte Zugriffsrechte erlangen, erkl\u00e4rt Connectwise weiter. Sofern die Maschinen-Keys kompromittiert sind, k\u00f6nnen Angreifer b\u00f6sartige ViewStates f\u00fcr die Webseite generieren und damit Schadcode aus dem Netz auf dem Server ausf\u00fchren.<\/p>\n Das Update auf Screenconnect 25.2.4 oder neuer stopft das Sicherheitsleck, es ist etwa auf der Download-Seite von Connectwise<\/a> verf\u00fcgbar. Es deaktiviert ViewState schlicht und entfernt die Abh\u00e4ngigkeiten davon. Die Sicherheitsmeldung liefert noch weitere Hinweise, etwa zur Versionspr\u00fcfung oder wie die Aktualisierung von On-Premises-Systemen mit und ohne aktiver Maintenance ablaufen. IT-Verantwortliche sollten aufgrund des Schweregrads der L\u00fccke die Aktualisierung schnell anwenden.<\/p>\n Ende Februar 2024 haben Kriminelle eine Sicherheitsl\u00fccke in Connectwise Screenconnect missbraucht und dar\u00fcber Ransomware verteilt. Kurz zuvor tauchte im Internet Proof-of-Concept-Exploitcode auf. Die Schwachstelle hatte jedoch die Einstufung als kritisches Risiko mit der H\u00f6chstwertung CVSS 10.0 erhalten.<\/p>\n