Die Schwachstelle CVE-2026-5426 in KnowledgeDeliver ist das jüngste Beispiel für eine gefährliche Trend-Serie: Angreifer missbrauchen identische, fest in Konfigurationsdateien hinterlegte ASP.NET-Machine-Keys über mehrere Kundeninstallationen hinweg. Diese Schlüssel dienen zur Verschlüsselung und Signierung von Daten, darunter auch sogenannte ViewState-Payloads, ein Mechanismus, über den ASP.NET-Anwendungen Zustandsinformationen speichern.
Mandiant zufolge waren alle KnowledgeDeliver-Installationen, die vor dem 24. Februar 2026 bereitgestellt wurden, betroffen. Sie verließen sich auf standardisierte web.config-Dateien des Herstellers mit hardcodierten Machine-Key-Werten. Durch Kenntnis dieser Keys konnten Angreifer ViewState-Deserialisierungsangriffe durchführen – eine Technik, mit der signierte, bösartige Payloads erstellt werden, um Remote-Code-Execution (RCE) auf Betriebssystemebene zu ermöglichen.
In dem von Mandiant analysierten Fall installierten die Angreifer die .NET-basierte In-Memory-Web-Shell Godzilla (auch BlueBeam genannt). Sie manipulierten JavaScript-Dateien der Anwendung so, dass Nutzer zum Download eines gefälschten Installers verleitet wurden – mit dem Ergebnis einer Cobalt-Strike-Beacon-Infektion, einer persistenten Hintertür.
Microsoft hatte ähnliche Godzilla-Einsätze bereits Ende 2024 dokumentiert. Auch das Cybersecurity-Unternehmen ASEC warnte im August 2024 vor Godzilla-Deployments bei ViewState-Deserialisierungsangriffen gegen Finanzunternehmen.
Die aktuelle KnowledgeDeliver-Kampagne zeigt hohe Zielgenauigkeit: Die bösartigen Payloads waren mit Schlüsseln verschlüsselt, die Namen der Zielorganisationen enthielten – ein Hinweis auf maßgeschneiderte Angriffe.
Dieses Muster wiederholt sich über mehrere Produkte: Im März 2025 missbrauchten Angreifer einen Hardcoded-Machine-Key bei Gladinet CentreStack. Im Juli 2025 wurden 85 Microsoft-SharePoint-Server durch gestohlene Machine-Keys kompromittiert. Auch auf Sitecore-Servern nutzten Staatsakteure ViewState-Deserialisierungsangriffe mit exposierten Machine-Keys, um das Aufklärungstool WeepSteel einzuschleusen.
Für deutsche Organisationen ist sofortige Abhilfe erforderlich: Updates einspielen, Machine-Keys generieren und überprüfen, ob Logs auf Verdachtsmuster hindeuten. Betreiber sollten zudem ihre Backup- und Incident-Response-Pläne aktivieren.