CVE-2026-3564 : ScreenConnect expose a un hijacking de session...

Vulnerabilite critique dans ScreenConnect (CVE-2026-3564)

ConnectWise a publie le 18 mars 2026 un correctif de securite pour une vulnerabilite critique affectant toutes les versions de ScreenConnect anterieures a la 26.1. Referencee CVE-2026-3564, cette faille porte sur une faiblesse dans la verification des signatures cryptographiques du framework ASP.NET utilise par ScreenConnect.

Vecteur d'attaque et mecanisme d'exploitation

Le coeur du probleme reside dans la gestion des cles machine ASP.NET (machine keys). Ces cles servent a signer et chiffrer les donnees sensibles transitant dans l'application, notamment les cookies d'authentification, les ViewState et les tokens de session.

Si un attaquant parvient a extraire le materiel cryptographique (validationKey et decryptionKey du machineKey), il devient capable de forger des valeurs protegees qui seront acceptees comme valides par l'instance ScreenConnect. Cela ouvre la porte a une authentification non autorisee et a une escalade de privileges.

Le bulletin de ConnectWise precise que des chercheurs ont observe des tentatives d'exploitation de materiel machine key divulgue dans la nature. Des affirmations non confirmees font etat d'une exploitation active par des acteurs chinois sur plusieurs annees, potentiellement liee a un precedent incident ou la faille CVE-2025-3935 avait deja permis le vol de cles machine sur un serveur ScreenConnect, dans une attaque attribuee a des hackers etatiques.

Perimetre d'impact

ScreenConnect est une plateforme d'acces a distance deployee massivement chez les MSP (Managed Service Providers), les equipes IT internes et les services de support. Deux modes de deploiement existent : cloud (heberge par ConnectWise) et on-premise.

Les instances cloud ont ete automatiquement mises a jour. Le risque concerne principalement les deploiements on-premise qui n'ont pas encore migre vers la version 26.1. Etant donne le nombre de MSP utilisant ScreenConnect pour gerer des centaines voire des milliers de machines clientes, une exploitation reussie pourrait avoir un effet de cascade considerable.

Correctifs appliques dans la version 26.1

La mise a jour 26.1 apporte plusieurs ameliorations au niveau de la gestion des cles machine :

• Stockage chiffre des cles machine, remplacant le stockage en clair ou faiblement protege des versions precedentes
• Mecanisme de rotation facilite pour permettre le renouvellement regulier du materiel cryptographique
• Gestion amelioree du cycle de vie des cles pour limiter la fenetre d'exposition

ConnectWise n'a pas fourni d'indicateurs de compromission (IoC) a ce stade, declarant ne pas avoir de preuve d'exploitation active de cette faille specifique sur les instances hebergees.

Contexte historique

Cette vulnerabilite s'inscrit dans une serie de failles majeures ayant affecte ScreenConnect. En fevrier 2024, la CVE-2024-1709 (contournement d'authentification) avait provoque une vague d'attaques massives. En 2025, la CVE-2025-3935 avait permis a des acteurs etatiques de derober des cles machine. La recurrence de ces incidents sur la meme plateforme souleve des questions sur l'architecture de securite fondamentale du produit.

Recommandations techniques

Pour les administrateurs de deploiements on-premise :

• Mise a jour immediate vers ScreenConnect 26.1
• Audit des fichiers de configuration pour verifier l'integrite des cles machine
• Revue des journaux d'authentification pour detecter des sessions suspectes (connexions depuis des IP inhabituelles, elevation de privileges non sollicitee)
• Protection renforcee des sauvegardes et snapshots de donnees anciennes qui pourraient contenir des cles en clair
• Mise a jour de toutes les extensions tierces
• Envisager la rotation complete des cles machine apres la mise a jour si un doute existe sur leur compromission

Les equipes SOC devraient monitorer les tentatives de deserialisation ASP.NET anormales et les acces aux endpoints d'authentification depuis des sources non repertoriees.