CISA-Warnung: Angriffe auf ConnectWise ScreenConnect und Windows Shell
Die CISA hat eine Warnung ausgelöst, da es zu beobachten ist, dass Angreifer die Windows Shell und das Remotedesktop-Tool ConnectWise ScreenConnect als Angriffspfade nutzen. Unternehmen, die diese Technologien einsetzen, sind gefährdet. Es wird empfohlen, strenge Zugriffskontrolle einzurichten, regelmäßige Software-Updates durchzuführen und Sicherheitslücken zu schließen.
CISA warnte vor Angriffen, bei denen Windows Shell und ConnectWise ScreenConnect als Angriffspfade genutzt werden. Unternehmen, die diese Technologien einsetzen, sind laut Artikel gefährdet. Empfohlen werden strenge Zugriffskontrollen, regelmäßige Updates und das Schließen von Sicherheitslücken.
Unternehmen, die Windows Shell und ConnectWise ScreenConnect einsetzen
Remotezugriff und Shell-Funktionalität sind kritische Angriffspfade für unbefugten Zugriff und Weiterbewegung.
Angreifer nutzen ScreenConnect oder Windows Shell, um Zugriff zu erlangen und Aktionen in der Umgebung auszuführen.
Zugriffskontrollen verschärfen, Software aktualisieren und bekannte Sicherheitslücken priorisiert schließen.
- ▸Defensiver Check 1: ScreenConnect-Zugriffe auf ungewöhnliche Sessions und neue Konten prüfen.
- ▸Defensiver Check 2: Windows-Shell-Ausführung auf ungewöhnliche Befehlsmuster prüfen.
- ▸Defensiver Check 3: Zugriffskontrollen, MFA und erlaubte Remotezugriffsquellen validieren.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Execution | T1059 Command and Scripting Interpreter | Medium | Der Artikel nennt Windows Shell als Angriffspfad. |
| Command and Control | T1219 Remote Access Software | Medium | Der Artikel nennt ConnectWise ScreenConnect als Angriffspfad. |
- CVE-IDs nicht im Artikel angegeben
- konkrete Angreifer nicht im Artikel angegeben
- IOCs nicht im Artikel angegeben
- genaue Angriffsschritte nicht im Artikel angegeben