### Chaves Hard-Coded Permitem Execução Remota de Código A vulnerabilidade, rastreada como **CVE-2026-5426** (pontuação CVSS: 7.5), surge do uso de chaves de máquina ASP.NET hard-coded dentro do KnowledgeDeliver. Essa falha crítica permitiu a execução remota de código não autenticada através de um ataque de desserialização de ViewState. Os perigos de chaves de máquina ASP.NET divulgadas publicamente foram previamente destacados pela **Microsoft** em fevereiro de 2025. De acordo com o **Google Mandiant** e o **Google Threat Intelligence Group (GTIG)**, os atacantes injetaram código malicioso na plataforma LMS para infectar visitantes do site. ### Impacto e Remediação A falha de segurança afetou implantações do KnowledgeDeliver anteriores a 24 de fevereiro de 2026. Vulnerabilidades semelhantes foram previamente exploradas em outras plataformas, como **Sitecore Experience Manager** (XM) e **Gladinet CentreStack e TrioFox**. ### Análise Técnica Profunda A causa raiz reside no arquivo `web.config` padronizado fornecido pelo fornecedor, contendo valores `machineKey` hard-coded usados pelo framework ASP.NET para criptografar e assinar dados, incluindo payloads de ViewState. Isso significava que comprometer uma implantação poderia potencialmente levar ao comprometimento de outras. "O ASP.NET ViewState persiste o estado da página entre postbacks", explicou o Google. "Quando a `machineKey` é conhecida, um ator de ameaça pode criar um payload malicioso de ViewState. Ao enviar este payload em uma requisição HTTP (via parâmetro `__VIEWSTATE`), o ator de ameaça pode fazer com que o servidor o desserialize." ### Cadeia de Ataque: De Web Shell a Cobalt Strike A exploração observada da CVE-2026-5426 envolveu a implantação do web shell **Godzilla** (também conhecido como BLUEBEAM). Isso concedeu aos atacantes a capacidade de executar comandos e baixar payloads adicionais. Os atacantes escalaram privilégios no sistema de arquivos do servidor web, concedendo acesso completo à pasta da aplicação web ao grupo "Everyone". Subsequentemente, eles adulteraram um arquivo JavaScript para exibir um alerta de segurança falso, solicitando aos usuários que instalassem um "plugin de autenticação de segurança" falso. Isso permitiu o carregamento furtivo de um script malicioso de um domínio controlado pelo atacante, levando, em última instância, os usuários a baixarem um instalador falso e infectando suas máquinas com Cobalt Strike Beacon. O Google observou que o payload foi criptografado usando uma chave que incorporava o nome da organização comprometida, indicando um ataque direcionado. ### Lições Aprendidas e Estratégias de Mitigação Este incidente ressalta os riscos críticos associados ao uso de segredos compartilhados em templates de implantação. As organizações devem implementar segredos únicos e monitoramento robusto de endpoints para se defender contra ataques de desserialização.