Der ViewState in ASP.NET hält den Zustand einer Seite über mehrere Anfragen hinweg fest. Ist der machineKey bekannt, kann ein Angreifer laut Mandiant eine manipulierte ViewState-Datenstruktur erzeugen und sie über eine HTTP-Anfrage an den Server senden, der sie dann deserialisiert. Auf diesem Weg lässt sich Code aus der Ferne ausführen.

Neu ist diese Angriffstechnik nicht. Mandiant verweist darauf, dass sie zuvor bereits bei der Ausnutzung von Sitecore-Instanzen und CentreStack-Installationen sowie bei Angriffen mit dem Post-Exploitation-Framework Godzilla beobachtet wurde.

Auch im Fall von KnowledgeDeliver führte die Ausnutzung der Lücke laut Mandiant zum Einsatz von Godzilla-Web-Shells, die auch unter dem Namen Bluebeam bekannt sind. Die Schadsoftware wird im Arbeitsspeicher abgelegt und erlaubt es den Angreifern, weitere Befehle und Schadprogramme auf den befallenen Rechnern auszuführen.

Über Godzilla änderten die Angreifer die Zugriffsrechte auf das Verzeichnis der Web-Anwendung und manipulierten eine JavaScript-Datei der Anwendung. Diese lud anschließend ein schädliches Skript nach und zeigte den Nutzern eine gefälschte Sicherheitswarnung an, die zur Installation eines vorgeblichen Plug-ins aufforderte.

Am Ende der Angriffskette wurden die Systeme mit einer Cobalt-Strike-Backdoor infiziert. Da die Nutzlast mit einem Schlüssel verschlüsselt war, der den Namen der betroffenen Organisation enthielt, geht Mandiant davon aus, dass die Backdoor gezielt für diese Organisation vorbereitet wurde.

Mandiant hat Kompromittierungsindikatoren (IoCs) zu dem Angriff veröffentlicht und rät Organisationen, ihre Umgebungen auf mögliche Einbrüche zu überwachen. Zudem sollten sie die machineKey-Werte ihrer Installationen austauschen und den Zugang zum LMS einschränken.