Security

SolarWinds Web Help Desk RCE -hyökkäykset nyt

3 min lukuaika

Yhteenveto

Microsoft on havainnut käynnissä olevia hyökkäyksiä, joissa internetiin altistettu SolarWinds Web Help Desk hyväksikäytetään etäkoodin suoritukseen ja sitä käytetään ponnahduslautana laajempaan domain-kompromissiin. Tapaukset ovat merkittäviä, koska hyökkääjät hyödyntävät laillisia työkaluja, kuten PowerShelliä, BITS:iä ja RMM-ohjelmistoja, mikä tekee toiminnasta huomaamattomampaa ja korostaa nopean paikkaamisen, altistettujen palveluiden suojaamisen ja LoTL-tekniikoiden valvonnan tärkeyttä.

Tarvitsetko apua Security-asioissa?Keskustele asiantuntijan kanssa

Johdanto: miksi tämä on tärkeää

Internetiin altistetut line-of-business-työkalut ovat edelleen korkean arvon kohteita, ja Microsoft on havainnut tosielämän hyökkäyksiä, joissa yhden SolarWinds Web Help Desk (WHD) -instanssin kompromisointi toimi ponnahduslautana laajempaan domain-kompromissiin. Kampanja erottuu “living-off-the-land” (LoTL) -toiminnalla, laillisten admin-työkalujen käytöllä ja vähä-äänisellä pysyvyydellä — taktiikoilla, jotka usein kiertävät pelkkiin allekirjoituksiin perustuvat kontrollit.

Mitä uutta / mitä Microsoft havaitsi

Microsoft Defender Research tunnisti monivaiheisia tunkeutumisia, jotka alkoivat altistetuista WHD-palvelimista:

  • Alkupääsy WHD:n hyväksikäytön kautta (RCE): Onnistunut hyväksikäyttö mahdollisti tunnistautumattoman etäkoodin suorituksen WHD-sovelluskontekstissa. Microsoft ei ole vahvistanut käytettyä haavoittuvuutta, mutta toteaa, että vaikutuksen alaisissa järjestelmissä oli haavoittuvuuksia kuten CVE-2025-40551, CVE-2025-40536 ja CVE-2025-26399.
  • Hyötykuorman toimitus sisäänrakennetuilla työkaluilla: Kompromisoinnin jälkeen WHD-palvelu käynnisti PowerShellin ja käytti BITS-toiminnallisuutta hyötykuormien lataamiseen ja suorittamiseen.
  • Ohjaukseen käytettiin laillista RMM:ää: Useissa tapauksissa hyökkääjät asensivat Zoho ManageEngine (RMM) -komponentteja (esim. jälkiä kuten ToolsIQ.exe) saadakseen interaktiivisen pääsyn.
  • Tunnistetietojen hankinta ja oikeuksien korotus:
    • Domain-käyttäjien/-ryhmien inventointi, mukaan lukien Domain Admins.
    • DLL sideloading: wab.exe latasi haitallisen sspicli.dll:n, mikä mahdollisti LSASS:n käsittelyn ja huomaamattomamman tunnistetietojen varastamisen.
    • Ainakin yksi tapaus eteni DCSync-vaiheeseen, mikä viittaa korkeiden oikeuksien tunnistetietojen saantiin.
  • Pysyvyys ja väistö:
    • Käänteinen SSH- ja RDP-pääsy.
    • Erityisen huomaamaton tekniikka: scheduled task, joka käynnisti QEMU:n SYSTEM-oikeuksilla käynnistyksen yhteydessä, käytännössä piilottaen toiminnan virtuaalikoneeseen samalla kun SSH välitettiin host-portin kautta.

Vaikutus IT-admineihin ja loppukäyttäjiin

  • Adminit: Kaikki julkisesti saavutettavat WHD-instanssit tulisi nähdä mahdollisena sisäänkäyntinä domain-tason kompromissiin. Koska hyökkääjät sulautuvat hallinnolliseen toimintaan (PowerShell/BITS/RDP/SSH), käyttäytymispohjainen valvonta endpoint-, identity- ja verkkoalueilla on välttämätöntä.
  • Loppukäyttäjät: Jatkuva vaikutus voi sisältää tilien kaappauksia, salasanojen varastamista, palvelukatkoksia sekä laajempaa kiristyshaittaohjelma- tai tietovarkausriskiä, kun domain-hallinta saavutetaan.

Suositellut toimet / seuraavat askeleet

  1. Paikkaa ja vähennä altistusta välittömästi
    • Ota käyttöön päivitykset, jotka korjaavat CVE-2025-40551-, CVE-2025-40536- ja CVE-2025-26399-haavoittuvuudet.
    • Poista julkinen altistus mahdollisuuksien mukaan, rajoita hallintapolut ja lisää lokitusta (mukaan lukien WHD-komponentit kuten Ajax Proxy).
  2. Etsi jälkihyväksikäytön indikaattoreita
    • Käytä Microsoft Defender Vulnerability Management (MDVM) -ratkaisua haavoittuvien WHD-palvelimien löytämiseen.
    • Defender XDR Advanced Hunting -toiminnoissa etsi epäilyttäviä prosessiketjuja, jotka alkavat WHD:stä (esim. wrapper.exe käynnistämä PowerShell/BITS), sekä ManageEngine/RMM-artefakteja, jotka on lisätty epäillyn kompromissi-ikkunan jälkeen.
  3. Poista luvattomat etähallintatyökalut
    • Tunnista ja poista odottamattomat ManageEngine RMM -komponentit ja selvitä, miten ne otettiin käyttöön.
  4. Eristä ja palauta
    • Eristä epäillyt hostit ja kierrätä tunnistetiedot alkaen palvelutileistä ja admin-tileistä, joihin WHD:stä voidaan päästä.
    • Tutki identity-kompromissin signaaleja (pass-the-hash/over-pass-the-hash) ja DCSync-indikaattoreita.

Microsoft toteaa analyysin olevan käynnissä; puolustajien tulisi olettaa aktiivisen hyväksikäytön jatkuvan ja priorisoida internetiin altistettujen sovellusten hygienia sekä kerroksellinen havaitseminen.

Tarvitsetko apua Security-asioissa?

Asiantuntijamme auttavat sinua toteuttamaan ja optimoimaan Microsoft-ratkaisusi.

Keskustele asiantuntijan kanssa

Pysy ajan tasalla Microsoft-teknologioista

Lue alkuperäinen artikkeli kirjoittajalta Microsoft Defender Security Research Team
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

Aiheeseen liittyvät

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.