ConnectWise, ein führender Anbieter von Remote Monitoring und Management (RMM) Lösungen, hat jüngst die geplante Rotation seiner digitalen Code-Signing-Zertifikate für ScreenConnect, ConnectWise Automate und weitere RMM-Tools bekannt gegeben. Diese Maßnahme erfolgt als Reaktion auf Sicherheitsbedenken, die von einem unabhängigen Forschungsteam aufgezeigt wurden und für die die Entwickler nun zügig Abhilfe schaffen wollen. Im Zentrum der Diskussion steht die Art und Weise, wie Konfigurationsdaten innerhalb der Software gehandhabt wurden – eine Problematik, die bei genauer Betrachtung zeigte, dass bestimmte Bereiche des Installers nicht signiert sind, obwohl sie Teil des Installationspakets sind. Dieses Vorgehen birgt nach modernen Sicherheitsstandards Risiken, die Unternehmen und Anwender dringend ernst nehmen sollten.Die Code-Signing-Zertifikate dienen dazu, bei der Installation und Ausführung von Programmen deren Echtheit und Unversehrtheit zu gewährleisten.
Ein Zertifikat bestätigt, dass die Software vom Hersteller stammt und nicht manipuliert wurde. Wenn solche Zertifikate kompromittiert oder Schwachstellen im Umgang mit der Signierung gefunden werden, können Angreifer Schadcode einschleusen oder die Glaubwürdigkeit des Programms unterminieren. In diesem Fall befindet sich die Schwachstelle in einem Bereich des ScreenConnect-Installers, der Konfigurationsinformationen wie die URL für die Agent-Server-Kommunikation enthält, aber nicht signiert ist. So kann dieser Bereich vom eigentlichen Signaturprozess ausgenommen bleiben, was theoretisch von legitimen Anpassungen Gebrauch macht, jedoch auch eine potenzielle Angriffsfläche schafft.ConnectWise betont ausdrücklich, dass es zu keiner Zeit zu einem Missbrauch der eigenen Systeme oder der verwendeten Zertifikate gekommen sei.
Dennoch arbeitet das Unternehmen mit Hochdruck an der Herausgabe neuer Zertifikate, die eine sichere und vollständige Signierung gewährleisten sollen. Parallel dazu wird ein Update veröffentlicht, das die Art und Weise verbessert, wie Konfigurationsdaten gespeichert und verwaltet werden, um zukünftige Risiken auszuschließen. Die Neuausstellung und der Widerruf der bisherigen Zertifikate sind für den 13. Juni 2025 angesetzt – Unternehmen, die die Software on-premise einsetzen, sollten bis dahin auf die aktuellen Versionen wechseln und überprüfen, ob alle eingesetzten Agenten aktualisiert wurden.Die Situation zeigt exemplarisch, vor welchen Herausforderungen moderne IT-Sicherheitsarchitekturen heute stehen.
Remote-Management-Software wie ScreenConnect erfreut sich aufgrund ihrer Flexibilität und Effizienz ständig wachsender Beliebtheit. Doch gerade diese Lösungen werden auch immer häufiger zum Ziel von Angreifern, die sich über legitime Programme unbemerkt Zugang zu Systemen verschaffen wollen. Die Technik des sogenannten Living-off-the-Land (LotL) setzt darauf, die vorhandenen Werkzeuge und Funktionen von Software zu missbrauchen, um schädliche Aktivitäten zu verschleiern und Administratoren zu täuschen. Vor diesem Hintergrund ist es von höchster Bedeutung, dass Anbieter ihre Software stetig prüfen, Schwachstellen proaktiv angehen und umfassende Sicherheitsvorkehrungen implementieren.ConnectWise befindet sich derzeit zudem im Aufräumprozess nach einem vor kurzem bekannt gewordenen Angriff auf Teile der eigenen Systeme.
Ein mutmaßlicher staatlich geförderter Angreifer nutzte eine Sicherheitslücke (CVE-2025-3935), um über ViewState-Code-Injection-Methoden Zugriff zu erlangen und eine kleine Zahl an Kunden zu kompromittieren. Dieses Ereignis unterstreicht die Dringlichkeit und die Notwendigkeit der sich nun anschließenden Maßnahmen, um weitere Risiken an der Wurzel zu bekämpfen.Für Administratoren und IT-Verantwortliche bedeutet dies, dass sie ihre Infrastrukturen genau im Blick behalten und notwendige Updates schnellstmöglich ausrollen sollten. Automatisch verwaltete Cloud-Instanzen von Automate und RMM erhalten die Zertifikatsupdates automatisch, wohingegen jene Unternehmen, die auf lokale Installationen setzen, aktiv werden müssen. Ein Versäumnis kann zu Unterbrechungen im Betrieb und zu einer verminderten Sicherheit führen.
Backup-Strategien sollten ebenso überprüft und gegebenenfalls optimiert werden, um im Ernstfall schnell reagieren zu können.Die neue Vorgehensweise verspricht nicht nur Verbesserungen bei der Sicherheit der Signaturen, sondern auch eine robustere Architektur im Umgang mit Konfigurationsinformationen. Dies kann langfristig verhindern, dass ähnliche Schwachstellen wieder entstehen und schont die IT-Sicherheitsbudgets der Unternehmen durch vermiedene Schadenfälle und geringeren Verwaltungsaufwand. Zusätzlich wird ConnectWise voraussichtlich in Zukunft noch stärker auf transparente Kommunikation setzen, um seine Kunden rechtzeitig über Sicherheitsupdates und notwendige Maßnahmen zu informieren.Die Rolle von Code-Signing-Zertifikaten sollte generell nicht unterschätzt werden.
Sie sind ein fundamentaler Bestandteil der sicheren Softwareverteilung und essenziell, um Vertrauen zwischen Anbietern und Nutzern herzustellen. Gerade bei RMM-Tools, die tiefgreifenden Zugriff auf Netzwerke und Systeme haben, ist eine kompromisslose Sicherheitsstrategie unerlässlich. Unternehmen, die solche Software nutzen, sollten daher regelmäßige Audits durchführen und stets darauf achten, dass Versionsstände aktuell sind und Zertifikate gültig bleiben.Abschließend zeigt der Fall von ConnectWise, dass auch etablierte IT-Hersteller vor Herausforderungen in der Sicherheitsarchitektur stehen. Jedoch ist der schnelle, transparente Umgang mit Problemen und die Bereitstellung technischer Lösungen ein positives Zeichen für Verantwortungsbewusstsein und Kundenschutz.
IT-Verantwortliche sind gut beraten, die Hinweise des Herstellers ernst zu nehmen, Updates unverzüglich umzusetzen und so ein sicheres Arbeitsumfeld zu gewährleisten. Die Dynamik in der IT-Sicherheitslandschaft erfordert kontinuierliches Engagement und Wachsamkeit – dies bleibt unverändert auch für die kommenden Jahre ein zentrales Thema in Unternehmensnetzwerken.
