28 maio KnowledgeDeliver: Google denuncia falha inédita em sistema de ensino que permite invasão remota
Pesquisadores da Mandiant, empresa de cibersegurança pertencente ao Google, identificaram no fim de 2025 uma vulnerabilidade crítica no KnowledgeDeliver. Trata-se de um sistema de gestão de aprendizagem (LMS) desenvolvido pela Digital Knowledge e amplamente utilizado por empresas e instituições de ensino no Japão.
A falha, registrada como CVE-2026-5426, permitiu que agentes maliciosos não identificados comprometessem servidores da plataforma. Eles ainda puderam instalar backdoors e infectar os computadores dos próprios usuários da ferramenta.
Todo software que roda na web precisa de chaves secretas para proteger os dados que circulam entre o servidor e o navegador do usuário. Pense nessas chaves como senhas internas que garantem que ninguém de fora consegue forjar ou manipular essas informações. O KnowledgeDeliver, contudo, vinha com essas chaves já definidas pelo fabricante, e eram as mesmas em todas as instalações do sistema.
A infecção chegou às máquinas dos usuários por meio de um falso alerta de segurança exibido na plataforma comprometida, que induzia o download de um instalador malicioso com o backdoor Cobalt Strike.
Isso significa que qualquer organização que instalou o KnowledgeDeliver sem alterar esse arquivo de configuração estava usando, essencialmente, a mesma “senha” que todas as outras. Um atacante que descobrisse essas chaves poderia agir contra qualquer servidor vulnerável do mundo.
O que o atacante consegue fazer com a chave
O ASP.NET, tecnologia usada pelo KnowledgeDeliver, usa as chaves para assinar e verificar pacotes de dados chamados ViewState. O ViewState é o mecanismo que mantém o estado de uma página entre as interações do usuário com o servidor.
Com a chave em mãos, o atacante consegue criar um ViewState falso e malicioso. Ao enviar esse pacote adulterado para o servidor, o sistema o processa como se fosse legítimo. Isso abre caminho para execução remota de código, ou seja, o invasor passa a rodar comandos diretamente no servidor sem precisar de credenciais.
A exploração da CVE-2026-5426 dispensava qualquer credencial, transformando servidores vulneráveis em alvos de acesso total por meio de pacotes de dados forjados e enviados via HTTP.
O que os atacantes fizeram após o acesso
Com o controle estabelecido, os atacantes instalaram um web shell chamado BLUEBEAM, também conhecido como Godzilla. Um web shell é uma ferramenta que permite ao invasor continuar controlando o servidor remotamente, mesmo depois que a janela de acesso inicial é fechada. O BLUEBEAM opera inteiramente na memória do processo do servidor, o que dificulta a detecção por ferramentas tradicionais de segurança.
A partir daí, os atacantes expandiram o controle sobre os arquivos do servidor. Eles alteraram as permissões da pasta da aplicação web para que qualquer pessoa pudesse modificar seu conteúdo. Em seguida, modificaram um arquivo JavaScript legítimo da plataforma.
Esse arquivo adulterado passou a exibir um alerta falso de segurança para os usuários que acessavam o site. A mensagem pedia que instalassem um “plugin de autenticação de segurança”. Ao mesmo tempo, o script carregava silenciosamente um código malicioso hospedado em um domínio controlado pelos atacantes.
A Mandiant recomenda rotação imediata das machine keys em todas as instâncias do KnowledgeDeliver e alerta que instalações anteriores a 24 de fevereiro de 2026 permanecem potencialmente expostas.
O resultado final foi a instalação de um backdoor Cobalt Strike nos computadores das vítimas. O Cobalt Strike é uma ferramenta legítima de testes de segurança que é amplamente abusada por grupos criminosos para manter acesso remoto persistente a sistemas comprometidos. O payload estava criptografado com uma chave que continha o nome da organização visada, o que indica que o ataque foi preparado especificamente para aquela empresa.
Quem está em risco e o que fazer
Todas as instalações do KnowledgeDeliver feitas antes de 24 de fevereiro de 2026 estão potencialmente vulneráveis. A Mandiant recomenda que as organizações afetadas rotem imediatamente as chaves de cada instância, gerando valores únicos e criptograficamente fortes para cada ambiente.
Além disso, recomenda-se restringir o acesso ao LMS a faixas de IP conhecidas da organização e investigar logs de eventos em busca de sinais de exploração.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.