Die Brisanz von CVE-2026-5426 rührt von einem fundamentalen Konstruktionsfehler. Das machineKey-Element in der web.config einer ASP.NET-Anwendung ist eigentlich ein einzigartiges, kryptografisch sicheres Geheimnis, das zum Verschlüsseln und Validieren sensibler Daten wie ViewState und Authentifizierungs-Tickets dient. Digital Knowledge lieferte jedoch in der Standard-Konfigurationsdatei für jeden KnowledgeDeliver-Kunden einen einzigen, statischen machineKey – samt validationKey und decryptionKey – mit .
Da der Schlüssel über alle Installationen hinweg identisch und hartcodiert war, wurde er zu einem öffentlich bekannten Geheimnis. Ein Angreifer, der diesen Schlüssel kannte, konnte ein bösartiges, serialisiertes ViewState-Datenpaket fälschen. Durch Senden dieses Pakets in einer POST-Anfrage an eine beliebige .aspx-Seite ließen sich die Schutzmechanismen von ASP.NET umgehen. Der Server akzeptierte den gefälschten ViewState als legitim und deserialisierte ihn, wodurch der Angreifer auf dem zugrundeliegenden IIS-Webserver ohne Authentifizierung beliebigen Code ausführen konnte . Die NVD bewertete die Schwachstelle mit einem CVSS-Score von 7,5 (Hoch), was die einfache netzwerkbasierte Ausbeutung durch einen nicht authentifizierten Angreifer widerspiegelt
.
Mandiant dokumentierte eine ausgefeilte, mehrstufige Attacke, die die Plattform gegen ihre eigenen Nutzer in Stellung brachte .
Der Angreifer leitete die Kompromittierung ein, indem er eine öffentlich zugängliche KnowledgeDeliver-Login-Seite ausmachte und eine sorgfältig gestaltete HTTP-POST-Anfrage abschickte. Der Rumpf dieser Anfrage enthielt einen bösartigen ViewState, der mit dem bekannten hartcodierten Maschinenschlüssel gefälscht worden war. Bei der Deserialisierung führte das Schadpaket Code mit den Rechten des IIS-Worker-Prozesses aus und verschaffte dem Angreifer einen ersten, nicht authentifizierten Stützpunkt auf dem Server .
Um dauerhaften Zugriff zu behalten, platzierte der Angreifer eine speicherresidente Webshell namens Godzilla, die Mandiant intern als BLUEBEAM führt. Dieses .NET-basierte Werkzeug erlaubte es dem Akteur, Befehle auszuführen, Dateien hochzuladen und den kompromittierten Server zu verwalten, ohne bösartige .aspx-Dateien auf der Festplatte zu hinterlassen – was die Entdeckung per Dateiscan erheblich erschwert .
Mit dem eingerichteten Kommandokanal modifizierte der Angreifer über die Webshell die vom LMS ausgelieferten JavaScript-Dateien. Es wurde ein Remote-Skript eingeschleust, das den Endnutzern beim Besuch der kompromittierten Website eine gefälschte Sicherheitswarnung oder Zahlungsaufforderung anzeigte. Diese Social-Engineering-Komponente war der entscheidende Wendepunkt, der die Server-Kompromittierung in eine unmittelbare Bedrohung für jeden Studenten oder Mitarbeiter verwandelte, der das LMS nutzte .
Das eingeschleuste Skript leitete die Opfer zum Download eines vermeintlich notwendigen Plugins oder Installers um. In Wirklichkeit war die heruntergeladene Datei ein Cobalt Strike Beacon. Dieser hochentwickelte Backdoor stellte eine persistente Verbindung zur Command-and-Control-Infrastruktur des Angreifers her und gewährte ihm vollständigen Fernzugriff auf den Arbeitsplatzrechner des Opfers. Mandiant merkte an, dass die Schaddatei mit dem Namen der kompromittierten Organisation als Schlüssel verschlüsselt war – ein starkes Indiz dafür, dass die Angreifer Schadpakete gezielt für ihre Opfer vorbereiteten .
Basierend auf ihrer Analyse skizzierte Mandiant Sofort- und Langzeitmaßnahmen für Verteidiger mit betroffenen KnowledgeDeliver-Installationen :
machineKey: Der kritischste Schritt ist der sofortige Austausch des hartcodierten machineKey in der web.config durch einen neuen, kryptografisch zufälligen Schlüssel, der für Ihre spezifische Instanz einzigartig ist. Dies entkräftet den Kern der CVE-2026-5426-Schwachstelle .aspx-Seiten, die ein starkes Indiz für ViewState-Exploit-Versuche sind. Nutzen Sie Endpoint Detection and Response (EDR)-Werkzeuge, um Server und Netzwerk nach Indicators of Compromise (IOCs) für die Godzilla-Webshell oder Cobalt Strike Beacon zu scannen Dieser Vorfall ist eine eindringliche Mahnung, dass Sicherheitsstandards in Drittanbieter-Software entscheidend sind. Ein einziges geteiltes Geheimnis, eingebacken in ein weit verbreitetes Produkt, kann als Generalschlüssel für Angreifer dienen, um nicht nur Server zu knacken, sondern auch eine vertrauenswürdige Anwendung gegen ihre gesamte Nutzerschaft zu bewaffnen.