### Hartkodierte Schlüssel ermöglichen Remote Code Execution Die Schwachstelle, die als **CVE-2026-5426** (CVSS-Score: 7.5) verfolgt wird, resultiert aus der Verwendung hartkodierter ASP.NET Machine Keys innerhalb von KnowledgeDeliver. Diese kritische Fehlkonfiguration ermöglichte eine nicht authentifizierte Remote Code Execution durch einen ViewState-Deserialisierungsangriff. Die Gefahren öffentlich bekannter ASP.NET Machine Keys wurden bereits im Februar 2025 von **Microsoft** hervorgehoben. Laut **Google Mandiant** und der **Google Threat Intelligence Group (GTIG)** injizierten die Angreifer bösartigen Code in die LMS-Plattform, um Website-Besucher zu infizieren. ### Auswirkungen und Behebung Die Sicherheitslücke betraf KnowledgeDeliver-Installationen vor dem 24. Februar 2026. Ähnliche Schwachstellen wurden bereits zuvor in anderen Plattformen wie **Sitecore Experience Manager** (XM) und **Gladinet CentreStack und TrioFox** ausgenutzt. ### Technischer Deep Dive Die Ursache liegt in der standardisierten `web.config`-Datei des Herstellers, die hartkodierte `machineKey`-Werte enthält. Diese werden vom ASP.NET-Framework zur Verschlüsselung und Signierung von Daten, einschließlich ViewState-Payloads, verwendet. Dies bedeutete, dass die Kompromittierung einer Installation potenziell zur Kompromittierung anderer führen konnte. "Der ASP.NET ViewState speichert den Seitenstatus über Postbacks hinweg", erklärte Google. "Wenn der `machineKey` bekannt ist, kann ein Bedrohungsakteur eine bösartige ViewState-Payload erstellen. Durch das Senden dieser Payload in einer HTTP-Anfrage (über den `__VIEWSTATE`-Parameter) kann der Bedrohungsakteur den Server dazu bringen, diese zu deserialisieren." ### Angriffsablauf: Von Web Shell zu Cobalt Strike Die beobachtete Ausnutzung von CVE-2026-5426 umfasste die Bereitstellung der **Godzilla** (auch bekannt als BLUEBEAM) Web Shell. Dies gab den Angreifern die Möglichkeit, Befehle auszuführen und weitere Payloads abzulegen. Die Angreifer eskalierten ihre Rechte auf dem Dateisystem des Webservers, indem sie dem Verzeichnis der Webanwendung vollständigen Zugriff für "Jeden" gewährten. Anschließend manipulierten sie eine JavaScript-Datei, um eine gefälschte Sicherheitswarnung anzuzeigen, die Benutzer aufforderte, ein betrügerisches "Sicherheitsauthentifizierungs-Plugin" zu installieren. Dies ermöglichte das heimliche Laden eines bösartigen Skripts von einer Angreifer-kontrollierten Domain, was letztendlich dazu führte, dass Benutzer einen gefälschten Installer herunterluden und ihre Maschinen mit Cobalt Strike Beacon infizierten. Google stellte fest, dass die Payload mit einem Schlüssel verschlüsselt war, der den Namen der kompromittierten Organisation enthielt, was auf einen gezielten Angriff hindeutet. ### Gelernte Lektionen und Abhilfestrategien Dieser Vorfall unterstreicht die kritischen Risiken, die mit der Verwendung gemeinsamer Geheimnisse in Bereitstellungsvorlagen verbunden sind. Organisationen sollten einzigartige Geheimnisse und eine robuste Endpunktüberwachung implementieren, um sich gegen Deserialisierungsangriffe zu schützen.