ScreenConnect漏洞可致黑客提取唯一机器密钥并劫持会话

ConnectWise已为其ScreenConnect远程桌面软件发布紧急安全公告，披露了一个严重的加密漏洞，该漏洞可能允许未经身份验证的攻击者提取服务器级别的机器密钥并劫持会话认证。

该漏洞被追踪为CVE-2026-3564，影响所有26.1版本之前的ScreenConnect，其CVSS评分为9.0，属于严重至重要级别。

问题的核心在于旧版ScreenConnect存储与每个服务器实例相关联的唯一机器密钥和加密标识符的方式。

这些密钥以明文形式写入服务器配置文件，这意味着在某些条件下，能够访问文件系统或配置数据的攻击者可以在无需目标系统高权限的情况下提取此材料。

ScreenConnect漏洞致密钥被提取
一旦被提取，机器密钥可被用于伪造或操纵会话认证令牌，从而有效冒充合法会话并绕过访问控制。

该漏洞被归类为CWE-347（加密签名验证不当），突出了根本原因：软件在信任这些加密组件进行认证决策之前，未能充分验证其完整性。

CVSS向量表明该漏洞可在网络层面被利用，无需权限或用户交互，但较高的攻击复杂度反映了利用它需要满足特定条件。

值得注意的是，影响范围被标记为“已改变”，意味着成功利用可能会影响易受攻击组件之外的资源，这在广泛部署ScreenConnect的企业远程访问环境中是一个重大关切。

ConnectWise将此漏洞评为优先级1（高），表明它要么正在被积极针对，要么在野外被利用的风险很高。运行本地部署ScreenConnect的组织尤其容易受到影响，应将修复视为紧急变更，理想情况下在公告发布后数日内完成。

更新的ScreenConnect 26.1版本通过引入加密存储和增强的机器密钥材料密钥管理来解决此漏洞，显著降低了即使服务器完整性部分受损时密钥被未经授权提取的风险。

云托管的ScreenConnect实例无需采取任何行动，因为ConnectWise已在后端应用了缓解措施。然而，本地部署合作伙伴必须通过官方ScreenConnect下载页面手动升级到26.1版本。

过期的维护许可证在应用更新前必须先续期。

鉴于接近严重的CVSS评分和优先级1的分类，管理本地部署ScreenConnect的安全团队应立即优先进行修补，并审计会话日志，查找可能表明先前利用尝试的任何异常认证活动。