CISA-Warnung: Angriffe auf ConnectWise ScreenConnect und Windows Shell
Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor beobachteten Angriffen auf die Windows Shell und ConnectWise ScreenConnect.
(Bild: Titima Ongkantong/Shutterstock.com)
Angreifer haben es auf Schwachstellen in ConnectWise ScreenConnect und der Windows Shell abgesehen. Vor Angriffen darauf warnt jetzt die US-amerikanische IT-Sicherheitsbehörde CISA.
In der Mitteilung der CISA, dass sie zwei attackierte Schwachstellen in den Known-Exploited-Vulnerabilities-Katalog aufgenommen hat, nennt die Behörde jedoch keine weiteren Details. Umfang, Art und Folgen der Angriffe sind dadurch unklar. Allerdings lassen sich aufgrund der CVE-Schwachstelleneinträge manchmal anderweitig Rückschlüsse ziehen. So wurden Angriffe auf die Windows Shell am gestrigen Dienstag bekannt (CVE-2026-32202, CVSS 4.3, Risiko „mittel“). Etwa Akamai hat tiefergehende Hintergründe veröffentlicht, das Leck als Zero-Click-Lücke eingeordnet und erörtert, dass Angreifer dadurch Net-NTLM-v2-Hashes abgreifen und diese in NTLM-Relay-Angriffe missbrauchen können – und das auch inzwischen in der Praxis machen.
Die Sicherheitslücke in ConnectWise ScreenConnect, die bösartige Akteure im Netz angreifen, ist hingegen bereits seit Februar 2024 bekannt (CVE-2024-1708, CVSS 8.4, Risiko „hoch“). Seitdem gibt es auch Aktualisierungen der Remote-Monitoring-and-Management-Software (RMM). Hier liefern die IT-Sicherheitsforscher von Huntress hilfreiche Hinweise – die bereits aus Mitte Februar stammen, sind aber offenbar noch immer relevant.
Missbrauchte ScreenConnect-LĂĽcke
Die Schwachstelle CVE-2024-1708 ist eine sogenannte Path-Traversal-Sicherheitslücke, durch die Angreifer Schadcode auf verwundbare Systeme verfrachten können. Laut Huntress nutzen das bösartige Akteure zusammen mit der Sicherheitslücke CVE-2024-1709 (CVSS 10.0, Risiko „kritisch“), die das Umgehen der Authentifizierung ermöglicht. Der Angriff mit kombinierten Schwachstellen hat den Namen „SlashAndGrab“ erhalten. Betroffen ist ConnectWise ScreenConnect 23.9.7 und vorherige Versionen, der Fix kam mit ScreenConnect 23.9.8 und neueren.
Videos by heise
IT-Verantwortliche sollten die Sicherheitslücken schließen, indem sie die verfügbaren Patches anwenden. Wer ConnectWise ScreenConnect einsetzt, findet in der Huntress-Analyse zudem einige Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC), auf die die Systeme untersucht werden können.
(dmk)
