Security

SolarWinds Web Help Desk RCE: Microsoft warnt

3 Min. Lesezeit

Zusammenfassung

Microsoft warnt vor realen Angriffen auf internetexponierte SolarWinds Web Help Desk-Server, bei denen eine nicht authentifizierte RCE als Einstieg für weitergehende Kompromittierungen bis hin zur Domäne genutzt wurde. Besonders relevant ist, dass die Angreifer auf legitime Admin-Werkzeuge wie PowerShell, BITS und RMM-Software setzten und dadurch unauffällig agieren konnten – Unternehmen sollten betroffene WHD-Instanzen daher umgehend patchen, absichern und auf verdächtige LoTL-Aktivitäten prüfen.

Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einleitung: warum das wichtig ist

Internet-exponierte Line-of-Business-Tools bleiben ein hochwertiges Ziel. Microsoft hat Angriffe in der Praxis beobachtet, bei denen die Kompromittierung einer einzelnen SolarWinds Web Help Desk (WHD)-Instanz als Sprungbrett für eine weitergehende Domänenkompromittierung diente. Die Kampagne ist bemerkenswert durch „living-off-the-land“ (LoTL)-Verhalten, den Einsatz legitimer Admin-Tools und geräuscharme Persistenz – Taktiken, die reine Signaturkontrollen häufig umgehen.

Was ist neu / was Microsoft beobachtet hat

Microsoft Defender Research identifizierte mehrstufige Intrusions, die von exponierten WHD-Servern ausgingen:

  • Initial access über WHD-Exploitation (RCE): Erfolgreiche Ausnutzung ermöglichte nicht authentifizierte Remote Code Execution im Anwendungskontext von WHD. Microsoft hat die konkret verwendete Schwachstelle nicht bestätigt, weist jedoch darauf hin, dass betroffene Systeme anfällig für CVE-2025-40551, CVE-2025-40536 und CVE-2025-26399 waren.
  • Payload-Delivery mit integrierten Tools: Nach der Kompromittierung startete der WHD-Dienst PowerShell und nutzte BITS, um Payloads herunterzuladen und auszuführen.
  • Legitimes RMM zur Steuerung verwendet: In mehreren Fällen installierten Angreifer Komponenten von Zoho ManageEngine (RMM) (z. B. Artefakte wie ToolsIQ.exe), um interaktiven Zugriff zu erhalten.
  • Credential access und Privilege Escalation:
    • Domänenbenutzer-/Gruppenaufklärung einschließlich Domain Admins.
    • DLL sideloading über wab.exe, das eine bösartige sspicli.dll lädt, wodurch LSASS-Zugriff und unauffälligere Credential-Theft ermöglicht wird.
    • Mindestens ein Vorfall entwickelte sich zu DCSync, was auf Credential access mit hohen Privilegien hinweist.
  • Persistenz und Evasion:
    • Reverse SSH- und RDP-Zugriff.
    • Eine besonders unauffällige Technik: ein scheduled task, der beim Start QEMU unter SYSTEM ausführt und Aktivitäten effektiv in einer VM verbirgt, während SSH über einen Host-Port weitergeleitet wird.

Auswirkungen auf IT-Admins und Endanwender

  • Admins: Jede öffentlich erreichbare WHD-Instanz sollte als potenzieller Einstiegspunkt für eine domänenweite Kompromittierung betrachtet werden. Da Angreifer in administratives Verhalten „untertauchen“ (PowerShell/BITS/RDP/SSH), ist verhaltensbasierte Überwachung über Endpoint-, Identity- und Network-Signale hinweg essenziell.
  • Endanwender: Nachgelagerte Auswirkungen können Account Takeover, Password Theft, Service Disruption sowie ein erhöhtes Risiko für Ransomware oder Data Theft umfassen, sobald Domänenkontrolle erreicht ist.

Empfohlene Maßnahmen / nächste Schritte

  1. Sofort patchen und Exponierung reduzieren
    • Updates einspielen, die CVE-2025-40551, CVE-2025-40536 und CVE-2025-26399 adressieren.
    • Öffentliche Exponierung nach Möglichkeit entfernen, Admin-Pfade einschränken und Logging erhöhen (einschließlich WHD-Komponenten wie dem Ajax Proxy).
  2. Nach Post-Exploitation-Indikatoren suchen
    • Microsoft Defender Vulnerability Management (MDVM) verwenden, um anfällige WHD-Server zu identifizieren.
    • In Defender XDR Advanced Hunting nach verdächtigen Prozessketten suchen, die von WHD ausgehen (z. B. wrapper.exe, das PowerShell/BITS startet), sowie nach ManageEngine/RMM-Artefakten, die nach dem vermuteten Kompromittierungszeitfenster hinzugefügt wurden.
  3. Nicht autorisierte Remote-Tools entfernen
    • Unerwartete ManageEngine RMM-Komponenten identifizieren und entfernen sowie untersuchen, wie sie ausgerollt wurden.
  4. Eindämmen und Wiederherstellen
    • Verdächtige Hosts isolieren und Credentials rotieren, beginnend mit Service Accounts und Admins, die von WHD aus erreichbar sind.
    • Auf Signale einer Identity-Kompromittierung (pass-the-hash/over-pass-the-hash) und DCSync-Indikatoren untersuchen.

Microsoft weist darauf hin, dass die Analyse fortgesetzt wird; Defender sollten von anhaltender aktiver Ausnutzung ausgehen und Internet-facing Application Hygiene sowie mehrschichtige Detection priorisieren.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Defender Security Research Team lesen
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

Verwandte Beiträge

Security

Trivy-Lieferkettenkompromittierung: Defender-Hinweise

Microsoft hat Hinweise zur Erkennung, Untersuchung und Eindämmung der Trivy-Lieferkettenkompromittierung vom März 2026 veröffentlicht, die die Trivy-Binärdatei und zugehörige GitHub Actions betraf. Der Vorfall ist relevant, weil vertrauenswürdige CI/CD-Sicherheitstools missbraucht wurden, um Anmeldeinformationen aus Build-Pipelines, Cloud-Umgebungen und Entwicklersystemen zu stehlen, während sie scheinbar normal ausgeführt wurden.

Security

KI-Agenten-Governance: Intent sicher ausrichten

Microsoft beschreibt ein Governance-Modell für KI-Agenten, das Benutzer-, Entwickler-, rollenbasierte und organisatorische Intent in Einklang bringt. Das Framework hilft Unternehmen, Agenten nützlich, sicher und compliant zu halten, indem es Verhaltensgrenzen und eine klare Rangfolge bei Konflikten definiert.

Security

Microsoft Defender Predictive Shielding stoppt GPO-Ransomware

Microsoft hat einen realen Ransomware-Fall beschrieben, in dem Defenders Predictive Shielding den Missbrauch von Group Policy Objects (GPOs) erkannte, bevor die Verschlüsselung begann. Durch das Härten der GPO-Verteilung und das Unterbrechen kompromittierter Konten blockierte Defender rund 97 % der versuchten Verschlüsselungsaktivität und verhinderte, dass Geräte über den GPO-Verteilungsweg verschlüsselt wurden.

Security

Agentic AI Sicherheit: Microsofts RSAC 2026 Neuerungen

Microsoft hat auf der RSAC 2026 neue Sicherheitsfunktionen für agentische KI vorgestellt, darunter die allgemeine Verfügbarkeit von Agent 365 ab dem 1. Mai als zentrale Steuerungsebene für Überwachung, Schutz und Governance von AI-Agents. Ergänzt wird dies durch neue Transparenz- und Erkennungstools wie das Security Dashboard for AI und Entra Internet Access Shadow AI Detection, was für Unternehmen wichtig ist, weil der breite Einsatz von AI-Agents neue Risiken bei Datenzugriff, Identitäten und unkontrollierter AI-Nutzung schafft.

Security

CTI-REALM Open Source: Benchmark für AI Detection

Microsoft hat mit CTI-REALM einen Open-Source-Benchmark vorgestellt, der prüft, ob AI-Agents im Security-Betrieb tatsächlich verwertbare Detection-Regeln aus Threat-Intelligence-Berichten ableiten und validieren können. Das ist wichtig, weil Security-Teams damit KI-Modelle nicht nur nach theoretischem Cybersecurity-Wissen, sondern nach ihrem praktischen Nutzen für SOC- und Detection-Engineering-Workflows in realistischen Umgebungen wie Linux, AKS und Azure bewerten können.

Security

Zero Trust for AI: Microsoft Workshop & Architektur

Microsoft erweitert seinen Zero-Trust-Ansatz gezielt auf KI-Umgebungen und führt dafür mit „Zero Trust for AI“ eine neue Leitlinie sowie eine eigene AI-Säule im Zero Trust Workshop ein. Das ist wichtig, weil Unternehmen damit einen strukturierten Rahmen erhalten, um Risiken wie Prompt Injection, Data Poisoning und übermäßige Zugriffe auf Modelle, Prompts und Datenquellen systematisch zu bewerten und mit konkreten Sicherheitskontrollen abzusichern.