machineKeyweb.configViewStatemachineKeyvalidationKeydecryptionKeyولأن المفتاح كان متطابقاً في كل عمليات النشر ومثبتاً بشكل ثابت، أصبح سراً معروفاً للعامة. يمكن لأي مخترق يحصل على هذا المفتاح أن يقوم بتزوير حمولة خبيثة لـ ViewState. بإرسال هذه الحمولة في طلب POST إلى أي صفحة بصيغة aspx.، يمكنه تجاوز آليات الحماية من التلاعب في ASP.NET. حيث يقبل الخادم الحمولة المزورة على أنها شرعية ويقوم بعملية فك التحويل التسلسلي (Deserialization)، مما يسمح للمهاجم بتنفيذ أوامر برمجية عشوائية على خادم الويب IIS الأساسي دون أي مصادقة . قامت قاعدة بيانات الثغرات الوطنية (NVD) بتصنيف هذه الثغرة بدرجة خطورة CVSS تبلغ 7.5 (عالية)، مما يعكس سهولة استغلالها عبر الشبكة من قِبل مهاجم غير مصرح له
.
بدأ المهاجم الاختراق بتحديد صفحة دخول KnowledgeDeliver المكشوفة للعامة، ثم أرسل طلب HTTP POST مُعدّ بعناية. كان جسم هذا الطلب يحتوي على ViewState خبيث تم تزويره باستخدام المفتاح الثابت المعروف. عند إتمام عملية فك التحويل التسلسلي، نفذت الحمولة كوداً خبيثاً بصلاحيات عملية IIS (أي صلاحيات عالية على الخادم)، مما أعطى المهاجم موطئ قدم أولي غير مصرح به على الخادم .
للحفاظ على الوصول طويل الأمد، قام المهاجم بنشر برمجية خبيثة تعمل داخل الذاكرة تُعرف باسم Godzilla، والتي يتتبعها فريق Mandiant داخلياً تحت اسم BLUEBEAM. هذه الأداة المبنية بتقنية .NET سمحت للمخترق بتنفيذ الأوامر، ورفع الملفات، وإدارة الخادم المُخترق دون ترك ملفات .aspx خبيثة على القرص، مما يجعل اكتشافه عبر الفحص البسيط للملفات أمراً بالغ الصعوبة .
بعد تثبيت قناة أوامر مستمرة، استخدم المهاجم هذه البرمجية لتعديل ملفات JavaScript التي يقدمها نظام LMS. قاموا بحقن سكريبت خارجي يعرض تنبيهاً أمنياً أو طلباً وهمياً للمستخدمين النهائيين الذين يزورون الموقع المُخترق. كان عنصر الهندسة الاجتماعية هذا هو نقطة التحول الحاسمة، حيث حوّل اختراق الخادم إلى تهديد مباشر لكل طالب أو موظف يستخدم النظام .
قام السكريبت المحقون بتوجيه الضحايا لتحميل ما يبدو أنه مكون إضافي (Plugin) أو برنامج تثبيت ضروري. في الواقع، كان الملف الذي تم تحميله عبارة عن حمولة خبيثة تُدعى Cobalt Strike Beacon. تقوم هذه البوابة الخلفية عالية القدرة بإنشاء اتصال مستمر مع البنية التحتية للقيادة والتحكم (C2) الخاصة بالمهاجم، مما يمنحه صلاحية الوصول الكامل عن بُعد إلى جهاز الضحية. لاحظ فريق Mandiant أن ملف الحمولة الخبيثة كان مشفراً باستخدام اسم المؤسسة المُخترقة كمفتاح للتشفير، مما يشير بقوة إلى أن المهاجمين كانوا يحضرون حمولات مخصصة لأهدافهم .
machineKey فريد: الخطوة الأكثر أهمية هي الاستبدال الفوري للمفتاح الثابت في ملف web.config بمفتاح جديد، مولد عشوائياً وآمن تشفيرياً، وفريد خاص بنشر نظامك. هذا الإجراء يلغي جوهر ثغرة CVE-2026-5426 .aspx، والتي تعتبر مؤشراً قوياً على محاولات استغلال ثغرة ViewState. استخدم أدوات كشف نقطة النهاية والاستجابة لها (EDR) لفحص الخادم والشبكة بحثاً عن مؤشرات الاختراق (IOCs) المرتبطة ببرمجية Godzilla أو Cobalt Strike Beacon هذه الحادثة بمثابة تذكير صارخ بأن إعدادات الأمان الافتراضية في البرامج التجارية أمر بالغ الأهمية. سر واحد مشترك، موجود في منتج واسع الاستخدام، يمكن أن يتحول إلى مفتاح هيكلي (Skeleton Key) يسمح للمهاجمين ليس فقط باختراق الخوادم، بل أيضاً بتحويل تطبيق موثوق إلى سلاح يُستخدم ضد كامل قاعدة مستخدميه.