Eine kritische Sicherheitslücke in der Remote-Desktop-Software ConnectWise ScreenConnect wird mittlerweile systematisch von Cyberkriminellen ausgenutzt, um Malware zu verteilen. Nachdem Mitte dieser Woche ein "Proof of Concept" für den einfach auszunutzenden Programmfehler aufgetaucht war, sind nun auch LockBit-Trittbrettfahrer auf den Zug aufgesprungen. Anzeige Die Sicherheitslücken in ScreenConnect klaffen in der Setup-Routine: Da diese URLs nicht korrekt verarbeitet, genügen wenige Zeichen aus, um eine eigentlich bereits fertig installierte Instanz der Software in den Auslieferungszustand zurückzuversetzen und zum Beispiel weitere Administrator-Nutzer anzulegen. Der CVSS-Wert für die Sicherheitslücke mit CVE-ID CVE-2024-1709 betrug demnach auch 10/10, weil der Angriff auch aus der Ferne funktioniert. Der Hersteller hatte die Lücke in Version 23.9.8 behoben, ScreenConnect-Cloud-Kunden müssen sich um nichts kümmern. In einer Analyse der Sicherheitslücke zeigten Sicherheitsexperten auf, wie trivial diese tatsächlich aufgebaut war: Ruft ein Angreifer statt dem URL /SetupWizard.aspx die Installationsroutine mit der leicht veränderten Adresse /SetupWizard.aspx/irgendwas auf, so greift die Sperrung des Installationsvorgangs nicht mehr und Unbefugte haben freie Bahn. Auch andere Software wie etwa das PHP-basierte Content-Management-System Typo3 waren in der Vergangenheit über Fehler in der Verarbeitung der sogenannten "Path-Info"-Anhängsel des URL gestolpert. Klares Bild: In den letzten Tagen haben sich die Angriffsversuche auf ConnectWise ScreenConnect vervielfacht (Bild: Sophos X-Ops) Diese Steilvorlage nutzen Kriminelle mittlerweile systematisch aus: Wie Sophos beobachtet hat, kursiert mittlerweile nicht nur ein funktionierender Exploit auf Github, sondern verschiedene Angriffe auf verwundbare ScreenConnect-Installationen haben stattgefunden. Darunter auch ein prominenter und in dieser Woche medial sehr präsenter Name: LockBit. Wie die Experten von Sophos erläutern, handelt es sich jedoch vermutlich nicht um die frisch geownte Ransomware-Bande, sondern einen oder mehrere Trittbrettfahrer. Diese nutzen Lockbit 2.0, die vor Jahren in einem Datenleck aufgetaucht war, und nicht die aktuelle Version 3.0. Lösungen für Fernwartung sind nicht nur Einfallstore für Betrugsmaschen, sondern auch für Angriffe auf Firmennetze. Vor der schweren Lücke In ScreenConnect war AnyDesk Opfer eines Cybereinbruchs geworden, der wohl im vergangenen Dezember stattgefunden hatte. Auch das BSI veröffentlichte vor gut zwei Wochen eigene Erkenntnisse zu dem Vorfall. Die Opensource-Alternative RustDesk hingegen sah sich unlängst mit Nachfragen besorgter Nutzer und Administratoren konfrontiert, die ein mysteriöses digitales Zertifikat inkriminierten, das bei der RustDesk-Installation mitgeliefert wurde. Das nach Aussage des Projektteams zu Testzwecken eingesetzte Zertifikat ist mit der aktuellen Version 1.2.3-1 nicht mehr vorhanden. (cku) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Eine kritische Sicherheitslücke in der Remote-Desktop-Software ConnectWise ScreenConnect wird mittlerweile systematisch von Cyberkriminellen ausgenutzt, um Malware zu verteilen. Nachdem Mitte dieser Woche ein "Proof of Concept" für den einfach auszunutzenden Programmfehler aufgetaucht war, sind nun auch LockBit-Trittbrettfahrer auf den Zug aufgesprungen. Anzeige Die Sicherheitslücken in ScreenConnect klaffen in der Setup-Routine: Da diese URLs nicht korrekt verarbeitet, genügen wenige Zeichen aus, um eine eigentlich bereits fertig installierte Instanz der Software in den Auslieferungszustand zurückzuversetzen und zum Beispiel weitere Administrator-Nutzer anzulegen. Der CVSS-Wert für die Sicherheitslücke mit CVE-ID CVE-2024-1709 betrug demnach auch 10/10, weil der Angriff auch aus der Ferne funktioniert. Der Hersteller hatte die Lücke in Version 23.9.8 behoben, ScreenConnect-Cloud-Kunden müssen sich um nichts kümmern. In einer Analyse der Sicherheitslücke zeigten Sicherheitsexperten auf, wie trivial diese tatsächlich aufgebaut war: Ruft ein Angreifer statt dem URL /SetupWizard.aspx die Installationsroutine mit der leicht veränderten Adresse /SetupWizard.aspx/irgendwas auf, so greift die Sperrung des Installationsvorgangs nicht mehr und Unbefugte haben freie Bahn. Auch andere Software wie etwa das PHP-basierte Content-Management-System Typo3 waren in der Vergangenheit über Fehler in der Verarbeitung der sogenannten "Path-Info"-Anhängsel des URL gestolpert. Klares Bild: In den letzten Tagen haben sich die Angriffsversuche auf ConnectWise ScreenConnect vervielfacht (Bild: Sophos X-Ops) Diese Steilvorlage nutzen Kriminelle mittlerweile systematisch aus: Wie Sophos beobachtet hat, kursiert mittlerweile nicht nur ein funktionierender Exploit auf Github, sondern verschiedene Angriffe auf verwundbare ScreenConnect-Installationen haben stattgefunden. Darunter auch ein prominenter und in dieser Woche medial sehr präsenter Name: LockBit. Wie die Experten von Sophos erläutern, handelt es sich jedoch vermutlich nicht um die frisch geownte Ransomware-Bande, sondern einen oder mehrere Trittbrettfahrer. Diese nutzen Lockbit 2.0, die vor Jahren in einem Datenleck aufgetaucht war, und nicht die aktuelle Version 3.0. Lösungen für Fernwartung sind nicht nur Einfallstore für Betrugsmaschen, sondern auch für Angriffe auf Firmennetze. Vor der schweren Lücke In ScreenConnect war AnyDesk Opfer eines Cybereinbruchs geworden, der wohl im vergangenen Dezember stattgefunden hatte. Auch das BSI veröffentlichte vor gut zwei Wochen eigene Erkenntnisse zu dem Vorfall. Die Opensource-Alternative RustDesk hingegen sah sich unlängst mit Nachfragen besorgter Nutzer und Administratoren konfrontiert, die ein mysteriöses digitales Zertifikat inkriminierten, das bei der RustDesk-Installation mitgeliefert wurde. Das nach Aussage des Projektteams zu Testzwecken eingesetzte Zertifikat ist mit der aktuellen Version 1.2.3-1 nicht mehr vorhanden. (cku) Zur Startseite