Exploração do KnowledgeDeliver via Vulnerabilidade de Deserialização ViewState

27 de maio de 2026

Resumo

Um ator de ameaça desconhecido explorou a CVE-2026-5426 como um zero-day, abusando de valores hardcoded de machineKey do ASP.NET, idênticos em todas as implantações do KnowledgeDeliver LMS anteriores a fevereiro. Isso permitiu forjar ViewState payloads maliciosos e obter RCE (Remote Code Execution) não autenticado. Após a exploração, o ator implantou o webshell BLUEBEAM (Godzilla) em memória dentro do w3wp.exe, usou icacls para conceder acesso total de "Everyone" à raiz web e adulterou um arquivo JavaScript da aplicação para servir um plugin de segurança falso que entregava um Cobalt Strike BEACON específico da organização. Aos defensores, recomenda-se rotacionar as chaves de máquina para valores únicos por instância, restringir o acesso ao LMS por IP e buscar por falhas de ViewState (Application Event ID 1316), processos-filho anômalos do w3wp.exe, adulteração na raiz web, arquivos .js/.aspx/.config e User-Agent strings duplas concatenadas.

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 27 de maio de 2026
Fonte: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?