Security

SolarWinds Web Help Desk: RCE activa y riesgo DCSync

3 min de lectura

Resumen

Microsoft observó ataques reales contra instancias expuestas de SolarWinds Web Help Desk, donde una vulnerabilidad de ejecución remota de código sin autenticación permitió a los atacantes entrar, usar PowerShell y BITS para desplegar payloads, e incluso apoyarse en herramientas legítimas de administración remota para mantener acceso. Esto importa porque una sola instancia comprometida puede servir como puerta de entrada a un compromiso más amplio del dominio, incluyendo robo de credenciales y riesgo de DCSync, lo que refuerza la urgencia de parchear, limitar exposición a Internet y vigilar actividad LoTL.

¿Necesita ayuda con Security?Hablar con un experto

Introducción: por qué esto importa

Las herramientas line-of-business expuestas a Internet siguen siendo un objetivo de alto valor, y Microsoft ha observado ataques reales en los que comprometer una única instancia de SolarWinds Web Help Desk (WHD) se convirtió en un trampolín hacia un compromiso más amplio del dominio. La campaña destaca por comportamiento “living-off-the-land” (LoTL), uso de herramientas administrativas legítimas y persistencia de bajo ruido, tácticas que a menudo evaden controles basados solo en firmas.

Qué hay de nuevo / qué observó Microsoft

Microsoft Defender Research identificó intrusiones de varias etapas que comenzaron desde servidores WHD expuestos:

  • Acceso inicial mediante explotación de WHD (RCE): La explotación exitosa habilitó ejecución remota de código sin autenticación en el contexto de la aplicación WHD. Microsoft no ha confirmado la vulnerabilidad específica utilizada, pero señala que los sistemas afectados eran vulnerables a CVE-2025-40551, CVE-2025-40536 y CVE-2025-26399.
  • Entrega de payload usando herramientas integradas: Tras el compromiso, el servicio WHD generó PowerShell y usó BITS para descargar y ejecutar payloads.
  • RMM legítimo usado para control: En varios casos, los atacantes instalaron componentes de Zoho ManageEngine (RMM) (por ejemplo, artefactos como ToolsIQ.exe) para obtener acceso interactivo.
  • Acceso a credenciales y escalada de privilegios:
    • Enumeración de usuarios/grupos del dominio, incluidos Domain Admins.
    • DLL sideloading mediante wab.exe cargando un sspicli.dll malicioso, habilitando acceso a LSASS y un robo de credenciales más sigiloso.
    • Al menos un incidente avanzó a DCSync, lo que indica acceso a credenciales de alto privilegio.
  • Persistencia y evasión:
    • Acceso inverso por SSH y RDP.
    • Una técnica especialmente sigilosa: una tarea programada que inicia QEMU bajo SYSTEM al arranque, ocultando efectivamente la actividad en una VM mientras reenvía SSH a través de un puerto del host.

Impacto en admins de IT y usuarios finales

  • Admins: Cualquier instancia de WHD accesible públicamente debe tratarse como un posible punto de entrada a un compromiso a nivel de dominio. Debido a que los atacantes se mezclan con la actividad administrativa (PowerShell/BITS/RDP/SSH), es esencial la supervisión basada en comportamiento en endpoint, identidad y red.
  • Usuarios finales: El impacto posterior puede incluir toma de cuentas, robo de contraseñas, interrupción del servicio y un mayor riesgo de ransomware o robo de datos una vez que se logra el control del dominio.

Acciones recomendadas / próximos pasos

  1. Aplicar parches y reducir la exposición de inmediato
    • Aplicar actualizaciones que aborden CVE-2025-40551, CVE-2025-40536 y CVE-2025-26399.
    • Eliminar la exposición pública cuando sea posible, restringir rutas administrativas y aumentar el logging (incluidos componentes de WHD como el Ajax Proxy).
  2. Hacer hunting de indicadores posteriores a la explotación
    • Usar Microsoft Defender Vulnerability Management (MDVM) para localizar servidores WHD vulnerables.
    • En Defender XDR Advanced Hunting, buscar cadenas de procesos sospechosas que se originen en WHD (por ejemplo, wrapper.exe generando PowerShell/BITS) y artefactos de ManageEngine/RMM agregados después de la ventana de compromiso sospechada.
  3. Expulsar herramientas remotas no autorizadas
    • Identificar y eliminar componentes inesperados de ManageEngine RMM e investigar cómo se implementaron.
  4. Contener y recuperar
    • Aislar los hosts sospechosos y rotar credenciales comenzando por cuentas de servicio y admins accesibles desde WHD.
    • Investigar señales de compromiso de identidad (pass-the-hash/over-pass-the-hash) e indicadores de DCSync.

Microsoft señala que el análisis continúa; los defensores deben asumir que la explotación activa continúa y priorizar la higiene de aplicaciones expuestas a Internet y la detección por capas.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

Artículos relacionados

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Microsoft Defender predictive shielding frena ransomware GPO

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.

Security

Seguridad para Agentic AI de Microsoft en RSAC 2026

En RSAC 2026, Microsoft presentó una estrategia integral para asegurar la adopción empresarial de Agentic AI, con el anuncio de la disponibilidad general de Agent 365 el 1 de mayo como plano de control para gobernar, proteger y supervisar agentes de AI a escala. La noticia importa porque refuerza la visibilidad y gestión del riesgo de AI en toda la empresa mediante herramientas como Security Dashboard for AI y Shadow AI Detection, ayudando a reducir la sobreexposición de datos, controlar accesos y responder a nuevas amenazas.

Security

Microsoft lanza CTI-REALM open source para detección AI

Microsoft ha presentado CTI-REALM, un benchmark open source que evalúa si los agentes de IA pueden crear y validar detecciones de seguridad de extremo a extremo a partir de informes reales de inteligencia de amenazas, en lugar de limitarse a responder preguntas teóricas. Esto importa porque ofrece a los equipos SOC una forma más práctica de medir el valor operativo de la IA en ingeniería de detección, incluyendo pasos clave como mapeo MITRE ATT&CK, consultas KQL y reglas Sigma en entornos Linux, AKS y Azure.

Security

Zero Trust for AI de Microsoft: taller y arquitectura

Microsoft presentó Zero Trust for AI (ZT4AI), una guía y arquitectura que adapta los principios de Zero Trust a entornos de IA para proteger modelos, agentes, datos y decisiones automatizadas frente a riesgos como prompt injection y data poisoning. Además, actualizó su Zero Trust Workshop con un nuevo pilar de IA y cientos de controles, lo que importa porque da a los equipos de seguridad y TI un marco práctico para evaluar riesgos, coordinar áreas de negocio y desplegar controles de seguridad de IA de forma más estructurada.