Security

SolarWinds Web Help Desk RCE udnyttes aktivt nu

3 min læsning

Resumé

Microsoft har observeret aktive angreb mod internet-eksponerede SolarWinds Web Help Desk-servere, hvor uautentificeret RCE bruges som indgangspunkt til at hente payloads, installere legitim fjernadministrationssoftware og bevæge sig videre mod domænekompromittering. Det er vigtigt, fordi angriberne anvender “living-off-the-land”-teknikker og legitime værktøjer, som kan være svære at opdage, hvilket gør hurtig patching, eksponeringsreduktion og tæt overvågning af WHD-miljøer særlig kritisk.

Brug for hjælp med Security?Tal med en ekspert

Introduktion: hvorfor det betyder noget

Internet-eksponerede line-of-business-værktøjer er fortsat et attraktivt mål, og Microsoft har observeret angreb i den virkelige verden, hvor kompromittering af en enkelt SolarWinds Web Help Desk (WHD)-instans blev et springbræt til bredere domænekompromittering. Kampagnen er bemærkelsesværdig for “living-off-the-land” (LoTL)-adfærd, brug af legitimt admin-værktøj og støjsvag persistence—taktikker, der ofte undgår kontroller, der kun bygger på signaturer.

Hvad er nyt / hvad Microsoft observerede

Microsoft Defender Research identificerede intrusions i flere faser med udgangspunkt i eksponerede WHD-servere:

  • Initial access via WHD-udnyttelse (RCE): Vellykket udnyttelse muliggjorde uautentificeret remote code execution i WHD-applikationskonteksten. Microsoft har ikke bekræftet den specifikke sårbarhed, der blev brugt, men bemærker, at berørte systemer var sårbare over for CVE-2025-40551, CVE-2025-40536 og CVE-2025-26399.
  • Payload-levering med indbyggede værktøjer: Efter kompromittering startede WHD-tjenesten PowerShell og brugte BITS til at downloade og afvikle payloads.
  • Legitim RMM brugt til kontrol: I flere tilfælde installerede angribere komponenter af Zoho ManageEngine (RMM) (fx artefakter som ToolsIQ.exe) for at få interaktiv adgang.
  • Credential access og privilege escalation:
    • Enumerering af domænebrugere/-grupper, herunder Domain Admins.
    • DLL sideloading via wab.exe, der indlæser en ondsindet sspicli.dll, hvilket giver adgang til LSASS og mere skjult credential theft.
    • Mindst én hændelse eskalerede til DCSync, hvilket indikerer credential access med høj privilegering.
  • Persistence og undvigelse:
    • Reverse SSH- og RDP-adgang.
    • En særlig snigende teknik: en scheduled task, der starter QEMU under SYSTEM ved opstart, hvilket i praksis skjuler aktivitet i en VM, samtidig med at SSH videresendes over en host-port.

Konsekvenser for IT-admins og slutbrugere

  • Admins: Enhver offentligt tilgængelig WHD-instans bør behandles som et muligt indgangspunkt til domæneomfattende kompromittering. Da angribere blander sig med administrativ aktivitet (PowerShell/BITS/RDP/SSH), er adfærdsbaseret overvågning på tværs af endpoint, identity og netværk afgørende.
  • Slutbrugere: De afledte konsekvenser kan omfatte konto-overtagelse, password theft, serviceforstyrrelser samt øget risiko for ransomware eller data theft, når først domænekontrol er opnået.

Anbefalede handlinger / næste skridt

  1. Patch og reducer eksponering med det samme
    • Anvend opdateringer, der adresserer CVE-2025-40551, CVE-2025-40536 og CVE-2025-26399.
    • Fjern offentlig eksponering, hvor det er muligt, begræns admin-stier, og øg logging (inklusive WHD-komponenter som Ajax Proxy).
  2. Hunt efter post-exploitation-indikatorer
    • Brug Microsoft Defender Vulnerability Management (MDVM) til at finde sårbare WHD-servere.
    • I Defender XDR Advanced Hunting: kig efter mistænkelige proceskæder, der starter fra WHD (fx wrapper.exe, der starter PowerShell/BITS), samt ManageEngine/RMM-artefakter tilføjet efter det formodede kompromitteringsvindue.
  3. Fjern uautoriseret remote tooling
    • Identificer og fjern uventede ManageEngine RMM-komponenter, og undersøg, hvordan de blev udrullet.
  4. Inddæmning og gendannelse
    • Isolér mistænkte hosts og rotér credentials med start i service accounts og admins, der kan nås fra WHD.
    • Undersøg signaler på identity compromise (pass-the-hash/over-pass-the-hash) og DCSync-indikatorer.

Microsoft bemærker, at analysen fortsætter; defenders bør antage, at aktiv udnyttelse fortsætter, og prioritere hygiejne for internet-eksponerede applikationer samt lagdelt detection.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Security Research Team
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.