Security

SolarWinds Web Help Desk RCE: aktivní útoky varuje Microsoft

3 min čtení

Shrnutí

Microsoft varuje před aktivně zneužívaným vzdáleným spuštěním kódu v SolarWinds Web Help Desk, přes které útočníci získávají neautentizovaný přístup k internetově vystaveným serverům a následně se šíří dál do domény. Kampaň je nebezpečná tím, že využívá legitimní nástroje jako PowerShell, BITS a RMM software, takže může snadněji obejít běžné detekce a vést ke krádeži přihlašovacích údajů i eskalaci oprávnění.

Potřebujete pomoc s Security?Mluvte s odborníkem

Úvod: proč na tom záleží

Internetově vystavené line-of-business nástroje zůstávají vysoce hodnotným cílem a Microsoft pozoroval reálné útoky, kdy kompromitace jediné instance SolarWinds Web Help Desk (WHD) posloužila jako odrazový můstek k širší kompromitaci domény. Kampaň je výrazná „living-off-the-land“ (LoTL) chováním, využíváním legitimních admin nástrojů a nízkošumovou perzistencí—taktikami, které často unikají kontrolám založeným pouze na signaturách.

Co je nového / co Microsoft pozoroval

Microsoft Defender Research identifikoval vícefázové průniky začínající u vystavených WHD serverů:

  • Počáteční přístup přes zneužití WHD (RCE): Úspěšné zneužití umožnilo neautentizované vzdálené spuštění kódu v kontextu aplikace WHD. Microsoft nepotvrdil konkrétní použitou zranitelnost, ale uvádí, že zasažené systémy byly zranitelné vůči CVE-2025-40551, CVE-2025-40536 a CVE-2025-26399.
  • Doručení payloadu pomocí vestavěných nástrojů: Po kompromitaci služba WHD spouštěla PowerShell a používala BITS ke stažení a spuštění payloadů.
  • Řízení přes legitimní RMM: V několika případech útočníci nainstalovali komponenty Zoho ManageEngine (RMM) (např. artefakty jako ToolsIQ.exe) pro získání interaktivního přístupu.
  • Získání přihlašovacích údajů a eskalace oprávnění:
    • Enumerace doménových uživatelů/skupin včetně Domain Admins.
    • DLL sideloading přes wab.exe načítající škodlivý sspicli.dll, což umožnilo přístup k LSASS a stealthovější krádež přihlašovacích údajů.
    • Minimálně jeden incident postoupil až k DCSync, což indikuje přístup k přihlašovacím údajům s vysokými oprávněními.
  • Perzistence a obcházení detekce:
    • Reverzní přístup přes SSH a RDP.
    • Zvlášť stealth technika: naplánovaná úloha spouštějící QEMU pod SYSTEM při startu, která efektivně skrývala aktivitu ve VM a zároveň forwardovala SSH přes port hostitele.

Dopad na IT administrátory a koncové uživatele

  • Administrátoři: Jakákoli veřejně dostupná instance WHD by měla být považována za potenciální vstupní bod ke kompromitaci celé domény. Protože útočníci splývají s administrátorskou aktivitou (PowerShell/BITS/RDP/SSH), je zásadní behaviorální monitoring napříč endpoint, identitou a sítí.
  • Koncoví uživatelé: Následné dopady mohou zahrnovat převzetí účtů, krádež hesel, narušení služeb a širší riziko ransomwaru nebo exfiltrace dat po získání kontroly nad doménou.

Doporučené kroky / další postup

  1. Okamžitě patchujte a snižte expozici
    • Aplikujte aktualizace řešící CVE-2025-40551, CVE-2025-40536 a CVE-2025-26399.
    • Kde je to možné, odstraňte veřejnou expozici, omezte admin cesty a zvyšte logování (včetně komponent WHD, jako je Ajax Proxy).
  2. Hledejte indikátory post-exploitation
    • Použijte Microsoft Defender Vulnerability Management (MDVM) k nalezení zranitelných WHD serverů.
    • V Defender XDR Advanced Hunting hledejte podezřelé procesní řetězce vycházející z WHD (např. wrapper.exe spouštějící PowerShell/BITS) a také ManageEngine/RMM artefakty přidané po předpokládaném okně kompromitace.
  3. Odstraňte neautorizované remote nástroje
    • Identifikujte a odstraňte neočekávané komponenty ManageEngine RMM a prověřte, jak byly nasazeny.
  4. Zadržení a obnova
    • Izolujte podezřelé hosty a rotujte přihlašovací údaje počínaje service accounts a administrátory dostupnými z WHD.
    • Prověřte signály kompromitace identity (pass-the-hash/over-pass-the-hash) a indikátory DCSync.

Microsoft uvádí, že analýza pokračuje; obránci by měli předpokládat, že aktivní zneužívání pokračuje, a upřednostnit hygienu internetově vystavených aplikací a vrstvenou detekci.

Potřebujete pomoc s Security?

Naši odborníci vám pomohou implementovat a optimalizovat vaše Microsoft řešení.

Mluvte s odborníkem

Buďte v obraze o technologiích Microsoft

Přečtěte si původní článek od Microsoft Defender Security Research Team
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

Související články

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.