ConnectWise a récemment alerté ses clients utilisant ScreenConnect sur une vulnérabilité critique de vérification de signature cryptographique, susceptible d’entraîner un accès non autorisé et une élévation de privilèges. Cette faille, identifiée sous le numéro CVE-2026-3564, concerne les versions de ScreenConnect antérieures à la version 26.1.
La plateforme ScreenConnect, fréquemment utilisée par les fournisseurs de services gérés (MSPs), les départements informatiques et les équipes de support, peut être déployée soit sur le cloud via ConnectWise, soit sur des serveurs locaux chez les clients.
Un attaquant pourrait tirer parti de cette vulnérabilité pour extraire et utiliser les clés machine ASP.NET, permettant ainsi une authentification de session non autorisée. L’avis du fournisseur précise que si les matériels des clés machine d’une instance ScreenConnect sont exposés, un acteur malveillant pourrait générer ou modifier des valeurs protégées, qui pourraient être reconnues comme valides par l’instance concernée.
En conséquence, des accès non autorisés et des actions inappropriées au sein de ScreenConnect pourraient se produire. Pour remédier à ce problème, ConnectWise a introduit des protections renforcées pour les clés machine, incluant un stockage crypté et une gestion améliorée à partir de la version 26.1.
Les utilisateurs de la version cloud ont été automatiquement transférés vers cette version sécurisée, tandis que les administrateurs de systèmes gérant des déploiements sur site doivent procéder à la mise à jour vers la version 26.1 sans délai.
Les chercheurs ont également noté des tentatives d’abus des clés machine ASP.NET divulguées, soulignant ainsi le risque imminent associé à CVE-2026-3564. À l’heure actuelle, ConnectWise n’a cependant aucune preuve d’exploitation active de cette vulnérabilité, et ne dispose pas d’indicateurs de compromission (IoCs) à partager avec les défenseurs.
Le fournisseur a indiqué à BleepingComputer qu’il n’y a pas de preuves que cette vulnérabilité ait été exploitée dans les instances hébergées par ConnectWise, et qu’aucun IoC confirmé n’est disponible. Ils encouragent les chercheurs suspectant une exploitation active à procéder à une divulgation responsable, afin que les découvertes puissent être validées et corrigées.
Des informations circulent concernant une éventuelle exploitation active du problème par des hackers chinois au fil des ans, bien qu’il reste incertain si cette vulnérabilité précise a été exploitée. Par le passé, des attaquants soutenus par des États-nations ont exploité CVE-2025-3935 pour dérober les clés machine secrètes d’un serveur ScreenConnect.
En plus de l’upgrade vers la version 26.1, ConnectWise recommande de restreindre l’accès aux fichiers de configuration et aux secrets, de vérifier les journaux pour toute activité d’authentification suspecte, de protéger les sauvegardes et les anciennes instantanés de données, ainsi que de maintenir les extensions à jour.