CISA warnt vor kritischer ScreenConnect-Lücke

Die US-Cybersicherheitsbehörde CISA hat eine kritische Schwachstelle in ConnectWise ScreenConnect in ihren Katalog bekannter Sicherheitslücken aufgenommen. Die Einstufung erfolgte am 29. April 2026 aufgrund neuer Erkenntnisse über aktive Angriffe. Betroffen sind sowohl Bundesbehörden als auch private Unternehmen – sie müssen die Patches bis Mitte Mai umsetzen.

Angesichts solch kritischer Schwachstellen ist der Schutz privater Endgeräte wichtiger denn je, um finanziellen Schaden abzuwenden. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie Ihr Android-Smartphone in wenigen Minuten gegen Hacker absichern. 5 Schutzmaßnahmen jetzt entdecken

Path-Traversal öffnet Tür für Angreifer

Im Zentrum der Warnung steht die Schwachstelle CVE-2024-1708. Dabei handelt es sich um einen Path-Traversal-Fehler in ScreenConnect-Versionen bis einschließlich 23.9.7. Der CVSS-Score von 8,4 stuft die Lücke als hochgefährlich ein.

Das Problem: Die Software beschränkt Dateipfade innerhalb ihrer Erweiterungen nicht ausreichend. Angreifer können Dateien außerhalb der vorgesehenen Verzeichnisse manipulieren. In Kombination mit einer weiteren Lücke wird es richtig brisant: CVE-2024-1709 weist den maximalen Schweregrad von 10,0 auf und erlaubt es Angreifern, die Authentifizierung komplett zu umgehen.

Sicherheitsexperten von Huntress warnen vor der Kombination beider Fehler. Während CVE-2024-1709 administrativen Zugriff auf Erweiterungsfunktionen ermöglicht, erlaubt CVE-2024-1708 das Einschleusen von Schadsoftware direkt ins Dateisystem. Eigentlich wären für letztere Administrationsrechte nötig – doch die Partnerlücke hebt diese Hürde auf.

Von Ransomware bis Spionage

Die CISA stützt ihre Entscheidung auf handfeste Beweise für laufende Kampagnen. Microsoft beobachtete bereits Anfang April 2024, wie die chinesische Gruppe Storm-1175 die Lücken für Medusa-Ransomware-Angriffe nutzte. Die Angreifer zielen gezielt auf Managed Service Provider (MSPs), um über deren Infrastruktur Endkunden zu erreichen.

Auch staatliche Akteure haben Interesse angemeldet. Analysen deuten auf Verbindungen zu Nordkorea und China hin. Durch die Übernahme eines ScreenConnect-Servers erhalten Angreifer dauerhaften Zugriff auf alle verbundenen Geräte – vom Server über PCs bis zu Smartphones.

Besonders tückisch: Die Langlebigkeit der Angriffe. Da die Offenlegung einiger Lücken länger zurückliegt, gibt es mittlerweile automatisierte Exploits, die das Internet nach ungepatchten Instanzen durchsuchen. Die CISA setzte eine Frist für Bundesbehörden bis zum 12. Mai 2026 – die Bedrohung ist keineswegs abgeklungen.

Smartphones als Kollateralschaden

ScreenConnect ist zwar primär eine Enterprise-Lösung, doch die Schwachstelle trifft auch Privatpersonen. Viele Nutzer haben Fernwartungs-Clients auf ihren Smartphones – sei es durch BYOD-Konzepte oder Support-Angebote ihres Mobilfunkanbieters.

Wird ein MSP kompromittiert, fungiert dessen legitime Software als Trojaner auf dem Endgerät. Angreifer können private Daten auslesen, Mikrofon und Kamera aktivieren oder schädliche Apps installieren. Der Nutzer bemerkt davon nichts.

Sicherheitsexperten warnen: Ein einziger kompromittierter Dienstleister kann Zehntausende Privatgeräte gefährden. Die Sicherheit der Lieferkette – vom Softwarehersteller über den Dienstleister bis zum Endgerät – ist das schwächste Glied.

Viele Nutzer unterschätzen, wie leicht Kriminelle das Smartphone ausspähen können, wenn zu viele Apps oder veraltete Software installiert sind. Erfahren Sie in diesem Gratis-Sicherheitspaket, wie Sie WhatsApp, PayPal und Online-Banking endlich effektiv vor Datenmissbrauch schützen. Kostenlosen Sicherheits-Ratgeber herunterladen

Neue Härtung durch ConnectWise

ConnectWise hat reagiert. Mit Version 26.1 im März 2026 führte das Unternehmen strukturelle Änderungen ein, um den Diebstahl kryptografischen Materials zu verhindern. Besonders betroffen: die sogenannten ASP.NET-Maschinenschlüssel.

Unter CVE-2026-3564 wurde eine Schwachstelle identifiziert, die es Angreifern ermöglichte, mit diesen Schlüsseln gefälschte Authentifizierungs-Token zu erstellen. Version 26.1 führt eine verschlüsselte Speicherung ein und erlaubt Administratoren, das kryptografische Material bei Bedarf zu regenerieren.

Die CISA empfiehlt:
- Sofortige Aktualisierung aller On-Premise-Instanzen auf Version 26.1 oder höher
- Überprüfung der Protokolldateien auf ungewöhnliche administrative Aktivitäten
- IP-Whitelisting für den Zugriff auf die Administrationskonsole
- Rotation aller sensiblen Zugangsdaten bei Verdacht auf offengelegte Maschinenschlüssel

Was die Zukunft bringt

Der Fall ScreenConnect zeigt: Bekannte Sicherheitslücken bleiben über Jahre gefährlich, wenn die Patch-Disziplin nachlässt. Angreifer nutzen nicht mehr nur Primärziele, sondern die gesamte Infrastruktur von Dienstleistern als Hebel.

Branchenanalysten rechnen mit weltweit verschärfter Regulierung für Fernwartungssoftware. In der EU könnte der Cyber Resilience Act (CRA) ähnliche Vorgaben bringen. Für Unternehmen bedeutet das: Automatisierte Inventarisierung und Schwachstellenmanagement werden zur existenziellen Aufgabe.

Die Trennung zwischen geschäftlicher und privater IT-Sicherheit existiert faktisch nicht mehr. Ein Angriff auf einen Firmenrechner kann heute die Privatsphäre von Millionen Smartphone-Nutzern gefährden. Die gesetzte Patch-Frist bis zum 12. Mai 2026 mag helfen – Experten raten jedoch, Sicherheitsupdates als geschäftskritische Sofortmaßnahme zu behandeln.

de | wissenschaft | 69267982 |