Thought Leadership
Eine zero-day ausgenutzte Schwachstelle im LMS KnowledgeDeliver erlaubt Remotecodeausführung. Angreifer schleusen Godzilla-Webshells und Cobalt Strike ein.
Die Sicherheitsexperten von Google Mandiant und der Google Threat Intelligence Group haben eine kritische Angriffswelle aufgedeckt, bei der eine zuvor unbekannte Sicherheitslücke in einem weit verbreiteten Lernmanagementsystem ausgenutzt wurde. Betroffen ist die Software KnowledgeDeliver des Herstellers Digital Knowledge, die insbesondere auf dem japanischen Markt eine hohe Verbreitung im Bildungs- und Unternehmenssektor aufweist. Die Angreifer nutzten den Programmierfehler als Zero-Day-Exploit aus, noch bevor der Hersteller eine entsprechende Aktualisierung bereitstellen konnte.
Das primäre Ziel der cyberkriminellen Akteure bestand darin, über die kompromittierte Plattform die Schadsoftware Godzilla einzuschleusen und in der Folge administrative Hintertüren mittels des Frameworks Cobalt Strike in den Netzwerken der betroffenen Organisationen zu etablieren. Von der Schwachstelle betroffen sind alle Installationen von KnowledgeDeliver, die vor dem 24. Februar 2026 implementiert wurden. An diesem Datum wurde vom Hersteller ein Sicherheits-Patch veröffentlicht, um die Schwachstelle zu schließen.
Technische Ursachen der vordefinierten Maschinenschlüssel
Die als kritisch eingestuften Fehler weisen unterschiedliche technische Ursachen auf, die in ihrer Kombination jedoch alle zu einer vollständigen Systemkompromittierung führen können. Die Schwachstelle wird unter der offiziellen Kennung CVE-2026-5426 geführt und weist einen Schweregrad von 7,5 auf der CVSS-Skala auf. Die technologische Ursache des Problems liegt in der Verwendung von hartcodierten kryptografischen Schlüsseln innerhalb des ASP.NET-Frameworks, den sogenannten Machine Keys. Der Hersteller hatte bei der Bereitstellung der Software eine standardisierte Konfigurationsdatei namens web.config an die Kunden ausgeliefert. Diese Datei enthielt bei allen Installationen identische Werte für den Parameter machineKey.
Diese Schlüssel werden vom ASP.NET-Framework regulär dazu verwendet, Datenströme zu verschlüsseln und digital zu signieren, um deren Integrität zu gewährleisten. Zu diesen Daten gehört auch der sogenannte ViewState, welcher den Zustand einer Webseite über verschiedene Benutzerinteraktionen hinweg speichert und überträgt. Wenn ein Angreifer diese vordefinierten Schlüssel aus einer einzelnen Installation extrahiert oder aus öffentlich zugänglichen Quellen bezieht, kann er diese Informationen nutzen, um beliebige andere, über das Internet erreichbare Instanzen von KnowledgeDeliver anzugreifen. Das systematische Ausnutzen öffentlich bekannter ASP.NET-Maschinenschlüssel durch Hackergruppen wurde von Microsoft bereits im Februar 2025 dokumentiert.
Manipulierte Deserialisierung von Daten im LMS KnowledgeDeliver
Der konkrete Angriffsmechanismus basiert auf einer manipulierten Deserialisierung von Daten. Da die geheimen Maschinenschlüssel durch die Standardkonfiguration bekannt sind, ist ein entfernter Angreifer ohne vorherige Authentifizierung in der Lage, ein bösartiges ViewState-Datenpaket zu generieren. Dieses manipulierte Paket wird im Rahmen einer gewöhnlichen HTTP-Anfrage über den Parameter __VIEWSTATE an den Server übermittelt. Beim Empfang der Daten versucht der Webserver, das Paket unter Verwendung des hinterlegten Schlüssels zu entschlüsseln und zu verarbeiten.
Bei diesem Deserialisierungsprozess wird der im Paket versteckte Schadcode direkt im Kontext des Webservers ausgeführt, was zu einer vollständigen Remotecodeausführung führt. Im Rahmen der von Google beobachteten Kampagne schleusten die Angreifer über diesen Vektor die Webshell Godzilla ein, die in Fachkreisen auch unter dem Namen BLUEBEAM bekannt ist. Diese Webshell gewährt den Tätern eine dauerhafte administrative Schnittstelle, über die sie Befehle auf dem Betriebssystem des Servers ausführen und zusätzliche Dateien in das Verzeichnis der Webanwendung hochladen können.
Privilegienausweitung ermöglicht Hackern Zugriff
Nach dem erfolgreichen Platzieren der Webshell führten die Angreifer automatisierte Befehle aus, um ihre Kontrolle über das Dateisystem des Webservers gezielt auszuweiten. Sie veränderten die Zugriffsberechtigungen des gesamten Webanwendungsverzeichnisses dahingehend, dass der Systemgruppe Everyone ein vollständiger Lese- und Schreibzugriff eingeräumt wurde. Durch diese extreme Ausweitung der Privilegien war es den Akteuren möglich, legitime Anwendungsdateien des Lernmanagementsystems direkt zu manipulieren.
Die Täter modifizierten eine zentrale JavaScript-Datei der Plattform. Diese Manipulation bewirkte, dass regulären Benutzern beim Besuch der Lernplattform eine gefälschte Sicherheitswarnung angezeigt wurde. In dieser eingeblendeten Meldung wurden die Anwender dringend dazu aufgefordert, ein vermeintlich notwendiges Sicherheits-Authentifizierungs-Plugin zu installieren, um den Zugriff auf ihre Lerninhalte fortzusetzen.
Infektionskette über gefälschte Update-Installer
Parallel zu der gefälschten Warnmeldung sorgte der manipulierte JavaScript-Code dafür, dass im Hintergrund ein schadhaftes Skript von einer externen, vom Angreifer kontrollierten Domäne geladen wurde. Dieses Skript verleitete die Nutzer zum Herunterladen eines gefälschten Installationsprogramms. Sobald ein Anwender diese Datei ausführte, wurde das System mit einem sogenannten Cobalt Strike Beacon infiziert. Hierbei handelt es sich um ein professionelles Werkzeug für Pentesting und Netzwerkinfiltration, das von Cyberkriminellen häufig zur Fernsteuerung kompromittierter Rechner und zur Vorbereitung von Ransomware-Angriffen genutzt wird.
Ein besonderes Detail der Kampagne unterstreicht die gezielte Vorgehensweise der Akteure. Die von Google Threat Intelligence analysierten Payload-Dateien waren mit einem kryptografischen Schlüssel verschlüsselt, der exakt den Namen der jeweils angegriffenen Organisation enthielt. Dies beweist, dass die Angreifer die Schadsoftware für jedes Opfer individuell vorbereitet und maßgeschneidert hatten, um Entdeckungen durch signaturbasierte Antivirenprogramme zu minimieren.
Strukturelle Risiken gemeinsam genutzter Geheimnisse in Vorlagen
Das Ausnutzen von Standardkonfigurationen und identischen kryptografischen Schlüsseln ist kein isoliertes Problem von KnowledgeDeliver. Die Sicherheitsforscher weisen darauf hin, dass in der jüngeren Vergangenheit sehr ähnliche Schwachstellen in anderen Enterprise-Lösungen wie dem Sitecore Experience Manager sowie in den Systemen Gladinet CentreStack und TrioFox von Angreifern für zero-day Kampagnen ausgenutzt wurden. Das grundlegende Risiko liegt in der Bequemlichkeit bei der Softwareverteilung, wenn Entwickler auf einheitliche Vorlagen setzen, anstatt bei jeder Installation einzigartige Sicherheitswerte zu generieren.
Google Mandiant betont, dass die wirksame Abwehr solcher Angriffe eine Kombination aus proaktiver Konfigurationshärtung und kontinuierlicher Überwachung erfordert. Organisationen müssen sicherstellen, dass vordefinierte Werte in Konfigurationsdateien unmittelbar nach der Installation durch kryptografisch sichere, individuelle Schlüssel ersetzt werden.
Zudem ist eine lückenlose Überwachung der Server-Endpunkte notwendig, um ungewöhnliche Deserialisierungsprozesse und Berechtigungsänderungen im Dateisystem frühzeitig zu erkennen. Die Analysten fassten die Lehren aus diesem Vorfall in einer abschließenden Bewertung zusammen: Die Ausnutzung von KnowledgeDeliver verdeutlicht die schwerwiegenden Risiken der Verwendung von gemeinsam genutzten Geheimnissen in Bereitstellungsvorlagen. Ein einziger durchgesickerter Schlüssel kann ein gesamtes Ökosystem von Installationen kompromittieren. Durch die Implementierung einzigartiger Geheimnisse und einer robusten Endpunktüberwachung können sich Organisationen gegen diese Deserialisierungsangriffe verteidigen.
