KnowledgeDeliver LMS: Zero-Day-Lücke ermöglicht Einsatz von BLUEBEAM-Webshell

KnowledgeDeliver, entwickelt ässigen Digital Knowledge, wird in Unternehmen und Bildungseinrichtungen weltweit weit verbreitet eingesetzt.

Mandiants Untersuchung eines Sicherheitsvorfalls Ende 2025 ergab, dass die Ursache der Kompromittierung in unsicheren kryptographischen Praktiken lag, insbesondere in der Wiederverwendung identischer ASP.NET-Maschinenschlüssel über mehrere Kundeninstallationen hinweg.

Diese Schlüssel sind für die Sicherung ändig, einem Mechanismus, der den Seitenzustand zwischen Anfragen in ASP.NET-Anwendungen aufrechterhält. Der LMS Zero-Day-Angriff kompromittiert.

Technischer Hintergrund

Da die machineKey-Werte fest codiert und geteilt wurden, konnten Angreifer, die diese Schlüssel, bösartige ViewState-Payloads erzeugen und diese auf anderen exponierten Servern wiederverwenden.

Durch die Erstellung einer serialisierten Payload und deren Übermittlung über den __VIEWSTATE-Parameter in HTTP-Anfragen zwang der Bedrohungsakteur den Server dazu, nicht vertrauenswürdige Daten zu deserialisieren und erreichte damit die Ausführung sich eng an zuvor dokumentierten ViewState-Deserialisierungsangriffen an, die auf Plattformen wie Sitecore beobachtet wurden, sowie an früheren Kampagnen, die exponierten Machine Keys hervorgehoben wurden.

Nach dem ersten Zugriff deployte der Angreifer BLUEBEAM, eine.NET-basierte Web-Shell, die auch als Godzilla bekannt ist.

Technischer Hintergrund

Im Gegensatz zu herkömmlichen Web-Shells, die auf auf der Festplatte gespeicherte Dateien angewiesen sind, arbeitet BLUEBEAM vollständig im Arbeitsspeicher innerhalb des IIS-Arbeitsprozesses (w3wp.exe) und verringert dadurch erheblich seinen forensischen Fußabdruck.

Die Malware kommuniziert über verschlüsselte HTTP-POST-Anfragen, wodurch Angreifer Befehle ausführen, Payloads hochladen und die Persistenz aufrechterhalten können, ohne herkömmliche dateibasierte Erkennungsmechanismen auszulösen. Der Angriff beschränkte sich nicht auf den Serverzugriff.

Mandiant beobachtete, dass der Angreifer die Dateisystemberechtigungen mit icacls modifizierte, um weitreichende Zugriffsrechte zu gewähren und damit die Sicherheitskontrollen auf dem kompromittierten Host effektiv zu schwächen. Darüber hinaus wurden legitime JavaScript-Dateien innerhalb des LMS manipuliert, um bösartigen Code einzuschleusen.

Technischer Hintergrund

Dieser Code zeigte eine betrügerische Sicherheitswarnung an, die Benutzer aufforderte, ein sogenanntes Authentifizierungs-Plugin zu installieren, und lud gleichzeitig externe Skripte aus -Engineering-Komponente führte zu nachgelagerten Infektionen.

Benutzer, die das gefälschte Plugin heruntergeladen hatten, wurden mit einem Cobalt Strike Beacon-Payload infiziert, einem weit verbreitet missbrauchten Post-Exploitation-Framework.

Besonders bemerkenswert ist, dass die Nutzlast mit einem Schlssel verschlsselt wurde, der aus dem Namen der betroffenen Organisation abgeleitet wurde, was auf gezielte Vorab-Rekognoszierung durch den Bedrohungsakteur hindeutet.

Einordnung fuer Autofahrer

Es bestehen Erkennungsmglichkeiten fr diese Aktivitt, erfordern jedoch eine sorgfltige berwachung des Verhaltens knnen Eintrge mit der ASP.NET-Event-ID 1316 enthalten, die auf ViewState-Validierungsfehler oder -Anomalien hinweisen.

In einigen Fllen erzeugten erfolgreich konstruierte Nutzlasten invalid ViewState"-Fehler, die dennoch zu Deserialisierungsversuchen fhrten. Mandiant berichtete, dass aus diesen Protokollen verschlsselte Fragmente der Nutzlast rekonstruiert wurden, die mit BLUEBEAM-Aktivitten in Verbindung gebracht werden konnten.

Die Prozessberwachung ist ebenso kritisch, da verdchtige Kindprozesse wie cmd.exe oder powershell.exe, die von w3wp.exe gestartet werden, auf eine Ausnutzung hinweisen knnen.

Sicherheitslage und Risiko

Die berwachung der Dateintegritt kann unbefugte nderungen an.js-,.aspx- oder.config-Dateien aufdecken, insbesondere das Einfgen auf anomalie User-Agent-Strings achten, insbesondere solche, die durch das Zusammenfügen mehrerer Browser-Signaturen entstehen – ein Muster, das mit früheren ViewState-Exploitationskampagnen übereinstimmt.

Die einzige wirksame Gegenmaßnahme für diese Schwachstelle ist die sofortige Rotation der ASP.NET-Maschinenschlüssel auf pro Bereitstellung eindeutige, kryptografisch starke Werte.

Organisationen werden ferner empfohlen, den Zugriff auf LMS auf vertrauenswürdige IP-Bereiche zu beschränken und retrospektive Bedrohungsjagd durchzuführen, um Anzeichen einer Kompromittierung zu identifizieren.

Technik und Auswirkungen

Ein bekannter Indikator, der mit der Kampagne verbunden ist, umfasst die BLUEBEAM-Payload „LoadLibrary.dll" mit der SHA-256-Hash-Wert 7c1f99dca8e5a7897892f9d224a6495023a2cfd2671697d229d355978c415ed2. Dieser Vorfall unterstreicht das systemische Risiko, das durch geteilte Geheimnisse in Software-Bereitstellungsvorlagen entsteht.

Ein einzelner offengelegter Schlüssel kann zu weitreichenden Kompromittierungen in völlig unabhängigen Organisationen führen und unterstreicht damit die Notwendigkeit änden sowie einer kontinuierlichen Überwachung.