# CVE-2026-3564 - ConnectWise ScreenConnect: Bypass de Autenticação via Machine Keys Expostas > [!high] CVSS 9.0 - Crítico - Bypass de Autenticação em Plataforma MSP > Verificação criptográfica inadequada (CWE-347) no **ConnectWise ScreenConnect** (versões anteriores a 26.1) expõe machine keys ASP.NET em texto claro nos arquivos de configuração. Um atacante com acesso a esse material pode forjar tokens de autenticação válidos e sequestrar sessões sem credenciais. Instâncias cloud atualizadas automaticamente; on-premises requerem atualização manual para versão 26.1. ## Visão Geral CVE-2026-3564 é uma vulnerabilidade crítica de **verificação criptográfica inadequada** (CWE-347) no [[_connectwise|ConnectWise]] ScreenConnect, plataforma de acesso remoto amplamente adotada por provedores de serviços gerenciados (MSPs) em todo o Brasil e América Latina. O problema reside no armazenamento das **machine keys** ASP.NET em texto claro nos arquivos de configuração do servidor: essas chaves, responsáveis pela válidação de tokens de autenticação e proteção de ViewState, podem ser extraídas por atacantes com acesso aos arquivos de configuração. Uma vez obtidas, as chaves permitem forjar tokens válidos para qualquer conta - sem necessidade de credenciais legítimas - realizando sequestro de sessão e escalada de privilégios. A criticidade é amplificada pelo modelo operacional dos MSPs: um único ambiente ScreenConnect gerencia endpoints de dezenas ou centenas de clientes. A exploração bem-sucedida pode resultar em comprometimento em cascata de toda a base de clientes, configurando o padrão clássico de ataque à cadeia de suprimento via [[t1195-supply-chain-compromise|T1195]]. Este é o terceiro CVE crítico do ScreenConnect em três anos consecutivos - após [[cve-2024-1709|CVE-2024-1709]] (CVSS 10.0, exploração massiva por ransomware em 2024) e CVE-2025-3935 (CVSS 8.1, exploração ativa por estado-nação em 2025). As TTPs associadas incluem [[t1078-valid-accounts|T1078]], [[t1563-remote-service-session-hijacking|T1563]] e [[t1059-command-scripting-interpreter|T1059]]. > [!latam] Relevância LATAM > O [[_connectwise|ConnectWise]] ScreenConnect é amplamente utilizado por MSPs brasileiros que atendem clientes dos setores [[financial|financeiro]], [[healthcare|saúde]] e [[government|governo]]. Um MSP comprometido via CVE-2026-3564 representa acesso transitivo a dezenas de redes de clientes finais. MSPs com instalações on-premises que ainda não atualizaram para a versão 26.1 devem tratar isso como prioridade imediata - instâncias cloud já foram atualizadas automaticamente pela ConnectWise. ## Resumo **CVE-2026-3564** é uma vulnerabilidade crítica de verificação de assinatura criptográfica no **ConnectWise ScreenConnect**, plataforma de acesso remoto amplamente utilizada por provedores de serviços gerenciados (MSPs), departamentos de TI e equipes de suporte em todo o Brasil e América Latina. Classificada como **CWE-347** (Improper Verification of Cryptographic Signature), a falha permite que um atacante com acesso ao material criptográfico do servidor - específicamente as **machine keys** do ASP.NET - forje tokens de autenticação válidos, realizando sequestro de sessão e escalada de privilégios sem necessidade de credenciais legítimas. Divulgada pelo ConnectWise em **17 de março de 2026** com CVSS 3.1 de **9.0 (Crítico)** e designação de **Prioridade 1**, a vulnerabilidade afeta todas as versões do ScreenConnect anteriores à **26.1**. Instâncias hospedadas na nuvem foram atualizadas automaticamente; instalações on-premises requerem atualização manual imediata. > [!warning] Impacto para MSPs > Ambientes ScreenConnect gerenciam endpoints de múltiplos clientes simultaneamente. A exploração bem-sucedida pode resultar em comprometimento em cascata de toda a base de clientes de um MSP - padrão típico de ataque à cadeia de suprimento ([[t1195-supply-chain-compromise|T1195]]). ## Detalhes Técnicos ### Mecanismo da Vulnerabilidade Versões do ScreenConnect anteriores à 26.1 armazenavam **machine keys** únicas por instância dentro de arquivos de configuração do servidor em **texto claro**. Essas chaves são utilizadas pelo framework ASP.NET para: - Proteção do **ViewState** de páginas web - Validação de **tokens de autenticação de sessão** - Assinatura criptográfica de valores protegidos pelo framework Quando um atacante obtém acesso a esses arquivos de configuração - via comprometimento prévio do servidor, exposição de backup, misconfiguration ou movimento lateral ([[t1021-remote-services|T1021]]) - ele pode extrair as machine keys e utilizá-las para: 1. **Gerar tokens de autenticação válidos** para qualquer conta sem conhecer credenciais reais ([[t1078-valid-accounts|T1078]]) 2. **Modificar valores protegidos** de forma que o servidor aceite como legítimos 3. **Sequestrar sessões ativas** de usuários autenticados, incluindo administradores ([[t1563-remote-service-session-hijacking|T1563]]) 4. **Escalar privilégios** dentro do ambiente ScreenConnect ([[t1068-exploitation-for-privilege-escalation|T1068]]) ```mermaid graph TB A["🔓 Acesso Inicial ao Servidor<br/>Misconfiguration / Backup Exposto"] --> B["📁 Extração das Machine Keys<br/>Arquivo de Configuração ASP.NET"] B --> C["🔑 Forja de Token de Autenticação<br/>CWE-347: Verificação Criptográfica Falha"] C --> D["👤 Bypass de Autenticação<br/>Acesso como Usuário Arbitrário"] D --> E["⬆️ Escalada de Privilégios<br/>Controle Total do ScreenConnect"] E --> F["💻 Acesso a Endpoints Gerenciados<br/>Execução Remota / Deploy de Malware"] F --> G["🏢 Comprometimento em Cadeia<br/>Todos os Clientes do MSP"] ``` ### Vetor de Ataque (CVSS 3.1) | Atributo CVSS | Valor | Significado | |---------------|-------|-------------| | Vetor de Acesso | Network | Explorável remotamente via rede | | Complexidade de Ataque | High | Requer acesso prévio ao material criptográfico | | Privilégios Necessários | None | Nenhuma conta prévia necessária | | Interação do Usuário | None | Sem necessidade de ação da vítima | | Escopo | Changed | Impacta sistemas além do componente vulnerável | | Confidencialidade | High | Exposição total de dados gerenciados | | Integridade | High | Modificação arbitrária de sistemas | | Disponibilidade | High | Potencial disrupção completa | ### Versões Afetadas | Produto | Versão Afetada | Versão com Fix | Deploy | |---------|----------------|----------------|--------| | ConnectWise ScreenConnect | < 26.1 | **26.1** | On-premises (ação manual) | | ConnectWise ScreenConnect Cloud | N/A | Atualizado automaticamente | Cloud | | ScreenConnect via Automate On-Prem | < 26.1 | **26.1** | Via Automate Product Updates | ### Contexto com Vulnerabilidades Anteriores do ScreenConnect O CVE-2026-3564 é a **terceira vulnerabilidade crítica** no ScreenConnect em três anos consecutivos, demonstrando targeting persistente da plataforma por grupos de ameaça: | CVE | Ano | Tipo | CVSS | Exploração | |-----|-----|------|------|------------| | [[cve-2024-1709\|CVE-2024-1709]] | 2024 | Authentication Bypass (CWE-288) | 10.0 | Ativa - ransomware em larga escala | | CVE-2025-3935 | 2025 | ViewState Code Injection (machine keys) | 8.1 | Ativa - atribuída a estado-nação | | **CVE-2026-3564** | **2026** | Cryptographic Signature Bypass (CWE-347) | **9.0** | Tentativas observadas, sem confirmação | > [!danger] Padrão de Targeting > O ScreenConnect acumula **três vulnerabilidades críticas em 25 meses**. A plataforma é alvo recorrente por ser um vetor de comprometimento em massa via cadeia de suprimento de MSPs - um único exploit pode comprometer centenas de clientes finais simultaneamente. ## Impacto A criticidade desta vulnerabilidade é amplificada pelo perfil típico dos usuários do ScreenConnect - MSPs que gerenciam centenas ou milhares de endpoints de clientes a partir de uma única instância. ### Consequências de Exploração Bem-Sucedida - **Acesso não autorizado** a todos os sistemas gerenciados via ScreenConnect ([[t1078-valid-accounts|T1078]]) - **Sessões remotas abertas** em endpoints de clientes sem autorização ([[t1563-remote-service-session-hijacking|T1563]]) - **Execução de comandos** com privilégios administrativos ([[t1059-command-and-scripting-interpreter|T1059]]) - **Instalação de malware**, backdoors ou ferramentas de ransomware ([[t1105-ingress-tool-transfer|T1105]]) - **Exfiltração de dados** sensíveis de múltiplos ambientes de clientes ([[t1041-exfiltration-over-c2-channel|T1041]]) - **Persistência** via modificação de configurações do ScreenConnect ([[t1546-event-triggered-execution|T1546]]) - Comprometimento em cascata da base de clientes do MSP ([[t1195-supply-chain-compromise|T1195]]) ### Setores Afetados no Brasil e LATAM O ScreenConnect é amplamente utilizado por MSPs que atendem setores críticos em toda a América Latina: - **Tecnologia e MSPs** - risco mais elevado, uso direto da plataforma - **Financeiro** - bancos e fintechs gerenciadas por MSPs - **Saúde** - sistemas de prontuário eletrônico acessados remotamente - **Governo** - gerenciamento de infraestrutura pública via suporte remoto Um único MSP comprometido representa **acesso transitivo a dezenas ou centenas de redes de clientes** no modelo de ataque à cadeia de suprimento ([[t1195-supply-chain-compromise|T1195]]). ## Exploração Ativa > [!info] Status de Exploração - 26/03/2026 > A ConnectWise confirmou à BleepingComputer e Help Net Security que **não possui evidências de exploração ativa** desta vulnerabilidade específica em instâncias hospedadas. No entanto, a empresa observou **tentativas de abuso de machine key material ASP.NET divulgado** em ambiente selvagem, configurando risco tangível. ### O Que Se Sabe - Pesquisadores de segurança observaram **tentativas de abuso de machine keys ASP.NET divulgadas** em ambiente selvagem, embora sem correlação direta confirmada com CVE-2026-3564 específicamente - Existem relatos **não confirmados** de que atores de ameaça de origem chinesa exploraram técnicas similares de extração de machine keys por anos - mas a vinculação específica a este CVE não foi estabelecida oficialmente - Nenhum **proof-of-concept (PoC) público** foi identificado até a data desta nota - A ConnectWise atribuiu **Prioridade 1** à vulnerabilidade, indicando maior risco de targeting por exploits na prática - Ferramentas de detecção já públicadas: Nessus Plugin ID **303452** (públicado 24/03/2026) - O histórico recente com CVE-2025-3935 (exploração ativa por estado-nação) demonstra que a plataforma é ativamente visada ### Janela de Exposição A combinação de alta adoção por MSPs, patches manuais necessários em on-premises e histórico de exploração rápida de vulnerabilidades ScreenConnect cria uma **janela de exposição elevada** para organizações que ainda não atualizaram. ## Mitigação ### Ação Imediata - Patch Obrigatório | Tipo de Implantação | Ação Necessária | Urgência | |---------------------|-----------------|----------| | **Cloud ConnectWise** (`screenconnect.com`, `hostedrmm.com`) | Nenhuma - atualizadas automaticamente | - | | **On-premises** | Atualizar para **ScreenConnect 26.1** | Imediata (dias) | | **Automate On-Prem + ScreenConnect** | Atualizar via Automate Product Updates | Imediata (dias) | | **Licença vencida** | Renovar licença, depois atualizar para 26.1 | Imediata | ### O Que a Versão 26.1 Resolve - Elimina armazenamento de machine keys em **texto claro** nos arquivos de configuração - Implementa **armazenamento criptografado** e gerenciamento ativo de material criptográfico - Oferece **regeneração sob demanda** das machine keys via ação administrativa - Fortalece os processos de verificação de assinatura em toda a plataforma Mitigação recomendada alinhada a [[m1041-encrypt-sensitive-information|M1041 - Encrypt Sensitive Information]] e [[m1026-privileged-account-management|M1026 - Privileged Account Management]]. ### Medidas Adicionais de Hardening (Pós-Patch) 1. **Restringir acesso** aos arquivos de configuração do servidor - somente usuários e sistemas confiáveis 2. **Proteger backups e snapshots** - garantir que arquivos de configuração históricos não estejam acessíveis externamente 3. **Revisar logs de autenticação** dos últimos 30+ dias para identificar atividade anômala 4. **Rotacionar credenciais** que possam ter sido armazenadas próximas aos arquivos de configuração 5. **Implementar segmentação de rede** para isolar a interface administrativa do ScreenConnect 6. **Ativar MFA** em todas as contas administrativas ([[m1032-multi-factor-authentication|M1032]]) 7. **Manter extensões atualizadas** - usar apenas extensões confiáveis e suportadas 8. **Configurar alertas SIEM** para autenticações anômalas ## Indicadores de Comprometimento > [!note] Status de IoCs > A ConnectWise confirmou que **não possui IoCs confirmados** para compartilhar, pois não há evidências de exploração bem-sucedida em instâncias hospedadas pela empresa. Os indicadores abaixo são comportamentais. ### Padrões Comportamentais a Monitorar nos Logs do ScreenConnect Monitorar via [[ds0028-logon-session|DS0028 - Logon Session]] e [[ds0002-active-directory|DS0002]]: - **Autenticações bem-sucedidas** de endereços IP ou localizações geográficas inesperadas - **Múltiplas autenticações privilegiadas** sem correspondente atividade legítima de usuário - **Atividade administrativa** em horários fora do padrão operacional (madrugada, fins de semana) - **Modificações de configuração** do servidor sem ticket ou solicitação correspondente - **Sessões remotas abertas** para endpoints sem associação a chamados de suporte ativos - **Ausência de tentativas falhas** precedendo autenticações bem-sucedidas - indicativo de token forjado - **Acesso a arquivos de configuração** do servidor (web.config, app.config) por processos não autorizados ### Queries de Detecção ``` # Nessus - detecção de versão vulnerável Plugin ID: 303452 - "ConnectWise ScreenConnect < 26.1 Authentication Bypass" Published: 2026-03-24 | Updated: 2026-03-25 # runZero - identificação de ativos vulneráveis na rede vendor:ConnectWise AND product:ScreenConnect AND (version:>0 AND version:<26.1) ``` ## Referências - [ConnectWise Security Bulletin - 2026-03-17](https://www.connectwise.com/company/trust/security-bulletins/2026-03-17-screenconnect-bulletin) - [BleepingComputer - ConnectWise patches new flaw allowing ScreenConnect hijacking](https://www.bleepingcomputer.com/news/security/connectwise-patches-new-flaw-allowing-screenconnect-hijacking/) - 2026-03-18 - [Help Net Security - Unpatched ScreenConnect servers open to attack](https://www.helpnetsecurity.com/2026/03/20/connectwise-screenconnect-CVE-2026-3564/) - 2026-03-20 - [NVD - CVE-2026-3564](https://nvd.nist.gov/vuln/detail/CVE-2026-3564) - [Tenable Nessus - Plugin 303452](https://www.tenable.com/plugins/nessus/303452) - 2026-03-24 - [CyberPress - ScreenConnect Flaw Lets Hackers Steal Machine Keys](https://cyberpress.org/screenconnect-flaw/) - 2026-03-19 - [runZero - Find affected ScreenConnect assets](https://www.runzero.com/blog/screenconnect/) - [CRN - ConnectWise Releases ScreenConnect 26.1 Patch](https://www.crn.com/news/security/2026/connectwise-releases-screenconnect-26-1-patch-for-critical-vulnerability) - 2026-03-18 - [SentinelOne Vulnerability Database - CVE-2026-3564](https://www.sentinelone.com/vulnerability-database/CVE-2026-3564/) - 2026-03-20 - [Feedly - CVE-2026-3564 Threat Intelligence](https://feedly.com/cve/CVE-2026-3564) - EPSS: 0.05%