日本で広く利用されている学習管理システムKnowledgeDeliverのゼロデイCVE-2026-5426が実環境で悪用されていたと、Mandiantが報告しています。開発元が提供していた導入時の標準設定ファイルに、ページ状態の暗号化・署名に使うASP[.]NETの鍵(machineKey)がハードコードされており、攻撃者は1つのインスタンスから鍵を入手すれば、同じ鍵が変更されていない他のインスタンスにも認証なしで任意コード実行が成立する状態だったとのこと。 侵入後はLMSのJavaScriptが改ざんされ、偽のセキュリティ警告で「セキュリティ認証プラグイン」のインストールを促す画面が利用者に表示されていました。 偽プラグインを実行した端末には侵入後の遠隔操作に使われるCobalt StrikeのBEACONが投入され、暗号鍵に被害組織の名称が使われていたことから、標的ごとにペイロードが事前準備されていたと報告されています。 【要点の整理】 ・2026年2月24日より前に導入されたKnowledgeDeliverのweb[.]configには、ベンダー提供の標準設定として複数の顧客環境で同一のmachineKeyがハードコードされていた。machineKeyはASP[.]NETがViewState(ページの状態をリクエスト間で保持する仕組み)の暗号化と署名に使う鍵で、これを知る攻撃者は悪意あるオブジェクトをViewStateに埋め込み、サーバーに復元処理(デシリアライゼーション)させることでリモートコード実行に至る。SitecoreやMicrosoftが報告した過去のViewState攻撃と同じ手法 ・展開されたのはBLUEBEAM(別名Godzilla)と呼ばれる[.]NET製のWebシェル。IISのワーカープロセスw3wp[.]exe内のメモリで動作し、ファイルベースの検知だけでは捕捉が困難。指令や追加ペイロードはHTTP POSTの本文に暗号化したデータを乗せて送受信される ・攻撃者はアクセス権変更コマンドicaclsでWebアプリケーションディレクトリに「Everyone」のフルアクセス権を付与したうえでJavaScriptファイルを改ざん。偽の「セキュリティ認証プラグイン」インストールを促す画面の表示と、外部の攻撃者インフラからのスクリプト読み込みを仕込む構成 ・偽プラグイン経由で利用者の端末にはCobalt StrikeのBEACONが投入された。ペイロードの暗号鍵に被害組織の名称が使われており、組織ごとに専用ペイロードが事前準備されていたことを示唆する ・検知の手がかりとして、WindowsアプリケーションログのイベントID 1316(ASP[.]NETのViewState検証失敗)、w3wp[.]exeからのcmd[.]exeやpowershell[.]exeの子プロセス生成、[.]js・[.]aspx・[.]configファイルへの不審な変更、2つのブラウザ識別子を連結した異常なUser-Agentが挙げられている ・対策はmachineKeyをインスタンスごとに推測困難な固有の値へ即時変更すること。あわせて可能であれば、LMSへのアクセスを組織が把握するIPレンジに限定し、侵害有無の能動的な確認と、兆候が見つかった場合の徹底調査が推奨されている ベンダーが配布する標準設定のなかに同じ秘密鍵を含めてしまう構成は、1件の鍵漏洩が無関係な組織にまで被害を連鎖させうるリスクを示した事例です。 KnowledgeDeliverは日本で広く利用されており、2026年2月24日より前に導入され、共通鍵を変更していない環境が影響対象とのことです。 詳細は以下を参照： cloud.google.com/blog/topics…

日本製LMS「KnowledgeDeliver」のゼロデイ脆弱性CVE-2026-5426が実際に悪用され、メモリ常駐型Webシェル「BLUEBEAM」が展開されていた。未認証RCEが可能で、教育機関や企業環境への影響が懸念されている。 原因はASP.NETのmachineKeyを複数顧客で共通利用していたことにある。攻撃者は1環境から鍵を入手すると、他サーバーでも細工した__VIEWSTATEを使い任意コード実行が可能となった。手法は過去のSitecore攻撃と類似する。 侵害後にはIISプロセス内で動作するWebシェル「BLUEBEAM」を展開。ディスクへファイルを書き込まず、暗号化HTTP通信でコマンド実行や追加マルウェア投入を行うため検知が難しい。 さらに攻撃者はJavaScript改ざんで偽セキュリティ警告を表示し、「認証プラグイン」を装ったCobalt Strike Beacon感染へ誘導していた。感染ペイロードには組織名由来の暗号鍵が使われ、事前偵察も確認されている。 対策としてはmachineKeyを環境ごとに固有値へ変更し、LMSアクセス制限と侵害調査を実施する必要がある。BLUEBEAM関連ファイル「LoadLibrary.dll」のSHA-256もIoCとして公開された。 cybersecuritynews.com/knowle…

Critical KnowledgeDeliver LMS zero-day (CVE-2026-5426) exploited via hardcoded ASP.NET machine keys. Threat actors achieved unauthenticated RCE, deployed in-memory web shells, and infected visitors with Cobalt Strike through fake security prompts. Technical breakdown: • Vulnerability: Identical machineKey values across deployments enabled ViewState deserialization attacks (pre-Feb 24, 2026 installs) • Post-exploitation: BLUEBEAM web shell in w3wp.exe memory, icacls privilege escalation, JavaScript injection for fake security alerts • Attack chain: ViewState RCE → BLUEBEAM deployment → file tampering → Cobalt Strike distribution via social engineering • Detection artifacts: Event ID 1316 with "Event code: 4009" indicating ViewState failures, suspicious w3wp.exe child processes (cmd.exe, whoami, powershell) • IOCs: Anomalous concatenated User-Agent strings, unauthorized .js/.aspx modifications in web root Hunt for Event ID 1316 from ASP.NET sources and w3wp.exe spawning system commands. Full detection rules available in Mandiant SecOps rule packs. #DFIR_Radar

🧩 CVE‑2026‑5426 – Digital Knowledge KnowledgeDeliver ViewState RCE (Critical): A hard-coded ASP.NET/IIS machineKey in KnowledgeDeliver deployments before February 24, 2026 lets attackers bypass ViewState validation and send malicious ViewState payloads that can execute arbitrary code remotely. CVSS 9.8, published today, with vendor and third-party advisories tracking the issue as critical. tenable.com/cve/CVE-2026-542… #CVE20265426 #ASPNet #IIS #RCE #WebAppSec #ThreatIntel

CVE-2026-26335 Calero VeraSMART versions prior to 2022 R1 use static ASP.NET/IIS machineKey values configured for the VeraSMART web application and stored in C:\\Program Files (x86)… cve.org/CVERecord?id=CVE-202…

New @metasploit modules for Gladinet CentreStack/Triofox: 1. LFI module (CVE-2025-11371) - extracts machineKey from Web.config 2. Access Ticket module - generates tickets using static keys from GladCtrl64.dll Both modules integrate with the deserialization module (CVE-2025-30406) to automatically extract the machineKey. github.com/rapid7/metasploit… thehackernews.com/2025/12/ha…

#الامن_السيبراني 🛡️ ما هي اداة Blacklist3r وما هي المشكلة الأساسية التي تحلها ؟ 🌐.. تخيل أن لديك منزلًا (موقع ويب) ومفتاح هذا المنزل (MachineKey) منشور على الإنترنت ويمكن لأي شخص رؤيته، فوجود المفتاح متاح للعموم يجعل المنزل غير آمن. هذا بالضبط ما تفعله #Blacklist3r : تابع 👇🏻

Elastic Security Labsが、公開済みのASP[.]NET machineKeyを悪用したグローバルなIIS感染キャンペーン（REF3927）を公開しました。 elastic.co/security-labs/tol… 侵害はViewStateの改竄→Godzilla系webshell→RMM／カーネルルートキット→TOLLBOOTHモジュール（SEOクローク）という組合せで行われ、既に数百台のIISサーバが確認されています。 これは設定ミス（再利用・公開されたキー）はそのまま RCEに直結することを示唆しています。まずは自組織のpublic-facing IISのmachineKeyを監査し、該当があれば即ローテーション、WAF／EDRで上記IoCをブロックしてください。ログの保全とEDRのメモリ検査も必要です。詳細なIoCと検出プレイブックはElasticレポートを参照してください。

השרת, בתורו, מאמת את תקינותם באמצעות חתימה דיגיטלית שמבוססת על ה-MachineKey ומפענח את התוכן אשר מוצפן בתוכם. ברגע שלתוקף יש גישה ל-MachineKey (ValidationKey ו-DecryptionKey), הוא יכול: >>

במערכת כמו ASP[.]NET, ה-MachineKey הוא סט של מפתחות קריפטוגרפיים אשר משמשים לחתימה והצפנה של אובייקטים רגישים. אובייקטים אלו (כגון VIEWSTATE) נשלחים כחלק מבקשות רגילות מהדפדפן לשרת ומכילים מידע על מצב הטופס או המשתמש. >>

בשלב הבא התוקף נפרד לשלום מה-webshell שגלוי הרבה יותר למערכות הגנה ועובר להרצת קוד באמצעות בקשות HTTP פשוטות: התוקף משתמש ב-webshell כדי לשלוף את מפתחות ההצפנה הקריפטוגרפיים של השרת, ה-MachineKey, מתוך קובץ הקונפיגורציה web[.]config. >>

🛡️ Una falla en SharePoint es usada para atacar gobiernos y empresas en todo el mundo Lo que empezó como una vulnerabilidad en servidores SharePoint ahora se convirtió en algo más grave. Un grupo de origen chino (Storm-2603) lo usa de entrada para instalar un ransomware llamado Warlock en empresas que no han actualizado sus sistemas. Sí, ya afectó a: - Dependencias públicas - Universidades - Empresas de energía - Hasta hospitales Y si eso le pasa a ellos… ¿qué crees que le puede pasar a una pyme sin protección? ⚠️ ¿Cómo lo hacen? 1. Entran por una falla en servidores SharePoint (dos errores que permiten ejecutar código sin estar autenticado). 2. Instalan un archivo trampa (spinstall0 . aspx) que les da acceso remoto al servidor. 3. Desde ahí: - Ejecutan comandos - Apagan antivirus - Roban contraseñas (con herramientas como Mimikatz), - Se mueven a otros equipos dentro de la red. 4. Finalmente, lanzan el ransomware Warlock, que cifra archivos y pide rescate en criptomonedas. Todo esto sin que nadie se dé cuenta… hasta que es demasiado tarde. 💡 ¿Qué deben hacer? 🔹 Dueños de empresas: Pregunta a tu equipo si usan SharePoint en servidores propios. Exige que esté actualizado con los parches de julio. Si no es urgente, considera moverte a la nube con protección real. 🔹 Encargados de TI / Seguridad: - Parchear urgentemente CVE-2025-49706 y CVE-2025-49704. - Revisar si existe el archivo spinstall0.aspx en el servidor. - Rotar las llaves MachineKey en ASP . NET. - Revisar logs e indicadores de compromiso.

🔻 Update: ToolShell exploits hit 300 orgs globally and now dropping WARLOCK Ransomware ! Chinese APT Storm-2603 has escalated the ToolShell SharePoint exploit chain (CVE-2025-49706 CVE-2025-49704) into a global ransomware operation. With 4,600 attacks across 300 organizations (govt/critical infrastructure heavily targeted), here’s what you need to know: Attack Flow: 1️⃣ Initial Access: Exploit SharePoint auth bypass (CVE-2025-49706) RCE (CVE-2025-49704) flaws to deploy web shell. 2️⃣ Persistence: Creating scheduled tasks and modifying Internet Information Services (IIS) components to load malicious .NET assemblies. MachineKey theft (via custom ASP.NET stealer) and decrypts ViewState for credential theft. 3️⃣ Lateral Movement: Modifying Group Policy Objects (GPO) to distribute Warlock ransomware (previously linked to LockBit). Leverage Ivanti EPMM vulns chained for network pivoting. 4️⃣ Payloads: BadPotato for privilege escalation and system access. AsmLoader (IIS worker shellcode injection) to launch memory-resident C2. RemoteExec to execute live commands via cmd.exe and return the responses of the execution back to the threat actor. Global Impact: 🌎 Top Targets: 🇺🇸 US 13.3%, 🇬🇧 UK, 🇫🇷 France, 🇩🇪 Germany ⚠️ Attackers patch initial entry points but retain persistence via .NET assemblies. ⚠️ 300 organizations confirmed compromised. Critical Overlooked Risks: Ivanti EPMM vulnerabilities chained into attacks. Attackers re-enable access even after initial patches. Public PoCs distract from real threat: ransomware payloads. ✅ URGENT Mitigations: Patch immediately: Apply July 2025 SharePoint updates & Ivanti EPMM fixes. Rotate ASP.NET machine keys and restart IIS via iisreset.exe on all servers. Enable Microsoft Defender for Endpoint (detects AsmLoader/BadPotato). Audit GPO changes and scheduled tasks to hunt for anomalies such as spinstall0.aspx variants, Unauthorized .NET assemblies, and MachineKey export events. Deploy EDR/XDR (Defender for Endpoint recommended). Assume breach: Activate IR plans; hunt for web shells key stealers. This is cyber espionage meets ransomware ~ a worst case scenario. Share to alert your network!

🛡️ Si pueden vulnerar a la agencia nuclear de EE.UU., ¿qué les impide hacerlo en tu empresa? El organismo que resguarda las armas nucleares de Estados Unidos fue víctima de un ataque por una falla en Microsoft SharePoint. Sí. La agencia responsable de las bombas nucleares. Y todo empezó con un error en un software común, usado en miles de empresas. ⚠️ ¿Qué pasó exactamente? 1. La agencia afectada fue la NNSA (National Nuclear Security Administration), parte del Departamento de Energía. 2. Atacantes —ligados a China— aprovecharon un error recién descubierto (y parcheado) en SharePoint. 3. La vulnerabilidad se llama ToolShell, y permite tomar el control del servidor con solo subir un archivo especial: - Suben un archivo disfrazado como inofensivo. - Roban una clave interna llamada MachineKey. - Usan esa clave para enviar comandos firmados que el sistema ejecuta sin dudar. 4. Aunque el gobierno dice que el impacto fue mínimo y no se perdió información clasificada, lograron entrar. Y eso ya es grave. 5. Expertos ya identificaron a más de 400 servidores infectados y 148 organizaciones comprometidas en Europa y Norteamérica, muchas de ellas: - Gobiernos - Universidades - Empresas de energía - Telecomunicaciones - Tecnología 💡 ¿Qué podemos aprender? 🔸 Si esto le pasa a una agencia con millones en presupuesto y sistemas protegidos… ¿qué puede pasarle a una empresa mediana con un servidor local sin actualizar? 🔸 SharePoint es una herramienta útil, pero cuando no se mantiene actualizada ni protegida, se convierte en un acceso directo a toda la red. 🔸 Los grupos que atacan no son aficionados: usan herramientas especializadas, actúan con paciencia y están enfocados en sectores clave como energía, salud, educación y tecnología. 🧰 ¿Qué deben hacer ahora? Dueños de empresas: - Pregunten si su servidor SharePoint está en la nube (Microsoft 365) o local (on-premise). - Si es local, asegúrense de que se haya instalado la actualización de emergencia de julio 2025. - No esperen a que pase algo para invertir en seguridad: esto no se soluciona con un antivirus tradicional.

🚨 Critical #SharePoint zero-day (CVE-2025-53770) under active exploitation! 🔓 Unauthenticated RCE via unsafe deserialization 🌍 85 servers breached — gov, edu & enterprise targets 🧰 Attackers steal MachineKey to forge __VIEWSTATE payloads 🛡️ Mitigation steps: • Patch ASAP • Enable AMSI & Defender AV • Rotate MachineKeys • Monitor POSTs to /layouts/15/ToolPane.aspx?DisplayMode=Edit • Scan for IPs: 107.191.58[.]76, 104.238.159[.]149, 96.9.125[.]147 #CloudBreach #ThreatIntel #CyberSecurity #BlueTeam #CloudBreach #SharePoint #ThreatIntel #InfoSec

🛡️ Nueva falla en Microsoft SharePoint permite a atacantes tomar control total Dos fallas críticas en servidores SharePoint permiten a ciberdelincuentes ejecutar comandos remotos sin contraseña ni permisos. Ya comprometieron al menos 85 servidores en el mundo — incluyendo gobiernos y empresas de energía, salud, IA y fintech en EE.UU. Y lo peor: aún no hay parches para todas las versiones. ⚠️ ¿Qué pasó y cómo lo hacen? 1. Primero, un poco de contexto: SharePoint es como el "Dropbox empresarial" de Microsoft. Se usa para compartir documentos, colaborar, almacenar archivos internos. 2. Unos investigadores demostraron en mayo cómo tomar control con solo subir un archivo .aspx. Microsoft parchó esas dos fallas en julio… pero los delincuentes encontraron nuevas formas de saltarse los parches. 3. Los nuevos errores (CVE-2025-53770 y CVE-2025-53771) permiten lo siguiente: - Suben un archivo malicioso (spinstall0.aspx) - Roban unas llaves criptográficas internas de SharePoint - Con esas llaves, crean comandos firmados "como si fueran de Microsoft" - El servidor los ejecuta sin cuestionar: les da control total. Todo esto usando funciones internas legítimas (ViewState y MachineKey), lo que hace difícil detectarlo. Esto fue hallado por investigadores de Viettel Cyber Security. 💥 ¿A quién afecta? 🔸 A servidores SharePoint instalados en oficinas (on-premise), no a SharePoint Online de Microsoft 365. 🔸 Ya hay víctimas: universidades, empresas de energía, fintechs, gobiernos estatales y federales en EE.UU. 💡 ¿Qué deben hacer? 🔹 Dueños de empresa: Pregunten si su servidor SharePoint es local y si ya está parchado con las actualizaciones de emergencia. Si no pueden actualizar, desconéctenlo de internet inmediatamente. 🔹 Responsables de TI o seguridad: - Revisen si existe el archivo spinstall0.aspx en la ruta interna de SharePoint. - Analicen los logs IIS para detectar POSTs a /ToolPane.aspx con referer de /SignOut.aspx. - Apliquen los parches de emergencia de Microsoft (para SharePoint 2019 y Subscription Edition). - Activen AMSI (Antimalware Scan Interface) y usen Defender Antivirus. - Después del parche, roten las llaves MachineKey (manual o con PowerShell). 📌 Si usan SharePoint 2016, esperen el parche en los próximos días, pero activen AMSI y roten llaves ya.

DoJ partner agencies report widespread SharePoint compromises across federal and energy sectors. CVE-2025-53770 and CVE-2025-53771 represent variants that bypass Microsoft's July Patch Tuesday fixes for the original "ToolShell" exploit chain demonstrated at Pwn2Own Berlin. CISA confirmed the vulnerabilities "provide unauthenticated access to systems and enable malicious actors to fully access SharePoint content, including file systems and internal configurations, and execute code over the network". The attack methodology reveals sophisticated persistence mechanisms: 📍 Attackers upload "spinstall0.aspx" files to steal SharePoint MachineKey configurations, including ValidationKey and DecryptionKey 📍 Threat actors then craft valid __VIEWSTATE payloads for persistent, unauthenticated access that bypasses future patching 📍 Victims include US federal and state agencies, energy companies, universities, and an Asian telecommunications provider CISA added CVE-2025-53770 to its Known Exploited Vulnerabilities catalog with a July 21 deadline for federal agencies. Critical action items for on-premises SharePoint administrators: 🛡️ Apply KB5002754 (SharePoint 2019) or KB5002768 (Subscription Edition) immediately 🔑 Rotate ASP.NET machine keys after patching and restart IIS on all SharePoint servers 🔍 Hunt for spinstall0.aspx files (SHA256: 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514) SharePoint Online in Microsoft 365 is not affected by these vulnerabilities. Source: msrc.microsoft.com/blog/2025…

🚨 Critical Zero-Day in Microsoft SharePoint — CVE-2025-53770 Actively Exploited! A massive exploitation campaign is underway targeting Microsoft SharePoint Server via an unpatched zero-day vulnerability (CVE-2025-53770, CVSS 9.8). ⚠️ Key Facts • At least 75 organizations breached, including multinational corporations and government agencies • Exploit enables unauthenticated remote code execution via deserialization of untrusted data • Attackers are stealing MachineKey config, deploying persistent web shells, and moving laterally across networks • Exploit chain is a variant of the ToolShell vulnerabilities (CVE-2025-49706 CVE-2025-49704) 🛡️ Who’s Affected • On-premises SharePoint Server 2016, 2019, and Subscription Edition • SharePoint Online (Microsoft 365) is NOT impacted #SharePointZeroDay #CVE202553770 #Cybersecurity #MicrosoftSecurity #ZeroDayExploit #RemoteCodeExecution #CyberAttack #SharePointServer #WebShell #NetworkSecurity #CyberThreat #PatchManagement

CVE-2025-53770 zero day en sharepoint server on premises, no el 365 SaaS. Ya bajo ataque activo. "delivering ASPX payloads via PowerShell, which is then used to steal the SharePoint server's MachineKey" Hora de que los AVs desquiten el precio para bloquear el webshell.