Auf den Punkt: SimpleHelp-Server können von außen ohne Authentifizierung zur Erstellung von Admin-Techniker-Konten missbraucht werden.
Eine Sicherheitslücke in der Remote-Management-Software SimpleHelp erlaubt unauthentifizierten Angreifern, privilegierte Techniker-Konten auf Servern zu erstellen. Die Schwachstelle besteht in der Implementierung des OpenID Connect (OIDC) Authentifizierungsprotokolls.
Die Remote-Management-Software SimpleHelp weist eine Sicherheitslücke auf, die es unauthentifizierten Angreifern ermöglicht, privilegierte Techniker-Konten auf betroffenen Servern zu erstellen. Die Schwachstelle sitzt in der Implementierung des OpenID Connect (OIDC) Authentifizierungsprotokolls und erfordert keine vorherige Authentifizierung oder Autorisierung des Angreifers.
Für CISOs bedeutet dies ein direktes Lateral-Movement- und Persistenz-Risiko: Ein kompromittierter oder extern erreichbarer SimpleHelp-Server wird zur Einfallstor für privilegierte Systemzugriffe. Techniker-Konten haben typischerweise erweiterte Rechte zur Verwaltung von Kundengeräten und -netzwerken. Angreifer könnten diese Konten nicht nur für initialen Zugriff, sondern auch zur Verschleierung ihrer Identität nutzen und sich als legitime Support-Mitarbeiter ausgeben.
Eine sofortige Überprüfung aller SimpleHelp-Deployments auf Patch-Status ist erforderlich. Der Schwerpunkt sollte auf Internet-erreichbaren Instanzen liegen. Netzwerk-basierte Detektion sollte auf verdächtige OIDC-Requests und unerwartete Kontoerstellungen prüfen. Betroffene Organisationen sollten Audit-Logs auf anomale Techniker-Konten analysieren und diese gegebenenfalls sperren, bis eine Patch-Validierung erfolgt ist.
Quelle: www.bleepingcomputer.com · Erschienen 15. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.