Security

SolarWinds WHD : RCE active et compromission domaine

3 min de lecture

Résumé

Microsoft a observé des attaques réelles exploitant des instances SolarWinds Web Help Desk exposées à Internet pour obtenir une exécution de code à distance non authentifiée, puis déployer des charges utiles via PowerShell et BITS avant d’utiliser un outil RMM légitime pour garder le contrôle. Cette campagne est importante car elle montre qu’une faille sur un serveur métier peut rapidement mener à une compromission du domaine, avec des techniques discrètes de type living-off-the-land qui contournent plus facilement les défenses basées sur les signatures.

Besoin d'aide avec Security ?Parler à un expert

Introduction: pourquoi c’est important

Les outils line-of-business exposés à Internet restent des cibles à forte valeur, et Microsoft a observé des attaques réelles où la compromission d’une seule instance SolarWinds Web Help Desk (WHD) a servi de tremplin vers une compromission plus large du domaine. La campagne se distingue par un comportement “living-off-the-land” (LoTL), l’usage d’outils d’administration légitimes et une persistance à faible bruit — des tactiques qui échappent souvent aux contrôles uniquement basés sur des signatures.

Quoi de neuf / ce que Microsoft a observé

Microsoft Defender Research a identifié des intrusions multi-étapes démarrant depuis des serveurs WHD exposés :

  • Accès initial via exploitation de WHD (RCE) : L’exploitation réussie a permis une exécution de code à distance non authentifiée dans le contexte de l’application WHD. Microsoft n’a pas confirmé la vulnérabilité spécifique utilisée, mais indique que les systèmes affectés étaient vulnérables à CVE-2025-40551, CVE-2025-40536 et CVE-2025-26399.
  • Livraison de la charge utile via des outils intégrés : Après la compromission, le service WHD a lancé PowerShell et utilisé BITS pour télécharger et exécuter des charges utiles.
  • Outil RMM légitime utilisé pour le contrôle : Dans plusieurs cas, les attaquants ont installé des composants de Zoho ManageEngine (RMM) (p. ex. des artefacts comme ToolsIQ.exe) pour obtenir un accès interactif.
  • Accès aux identifiants et élévation de privilèges :
    • Énumération des utilisateurs/groupes du domaine, dont Domain Admins.
    • DLL sideloading via wab.exe chargeant un sspicli.dll malveillant, permettant l’accès à LSASS et un vol d’identifiants plus furtif.
    • Au moins un incident a évolué vers DCSync, indiquant un accès à des identifiants à privilèges élevés.
  • Persistance et évasion :
    • Accès inversé via SSH et RDP.
    • Une technique particulièrement furtive : une tâche planifiée lançant QEMU sous SYSTEM au démarrage, masquant effectivement l’activité dans une VM tout en redirigeant SSH via un port de l’hôte.

Impact pour les administrateurs IT et les utilisateurs finaux

  • Administrateurs : Toute instance WHD publiquement accessible doit être considérée comme un point d’entrée potentiel vers une compromission à l’échelle du domaine. Comme les attaquants se fondent dans l’activité administrative (PowerShell/BITS/RDP/SSH), une supervision comportementale sur l’endpoint, l’identité et le réseau est essentielle.
  • Utilisateurs finaux : L’impact en aval peut inclure la prise de contrôle de comptes, le vol de mots de passe, des perturbations de service, ainsi qu’un risque accru de ransomware ou de vol de données une fois le contrôle du domaine obtenu.

Actions recommandées / prochaines étapes

  1. Corriger et réduire l’exposition immédiatement
    • Appliquez les mises à jour traitant CVE-2025-40551, CVE-2025-40536 et CVE-2025-26399.
    • Supprimez l’exposition publique lorsque possible, restreignez les chemins d’administration et augmentez la journalisation (y compris les composants WHD comme l’Ajax Proxy).
  2. Rechercher des indicateurs de post-exploitation
    • Utilisez Microsoft Defender Vulnerability Management (MDVM) pour localiser les serveurs WHD vulnérables.
    • Dans Defender XDR Advanced Hunting, recherchez des chaînes de processus suspectes provenant de WHD (p. ex. wrapper.exe lançant PowerShell/BITS) et des artefacts ManageEngine/RMM ajoutés après la fenêtre de compromission présumée.
  3. Éradiquer les outils d’accès distant non autorisés
    • Identifiez et supprimez les composants ManageEngine RMM inattendus, et enquêtez sur leur mode de déploiement.
  4. Confinement et restauration
    • Isolez les hôtes suspectés et faites une rotation des identifiants en commençant par les comptes de service et les admins accessibles depuis WHD.
    • Recherchez des signaux de compromission d’identité (pass-the-hash/over-pass-the-hash) et des indicateurs DCSync.

Microsoft indique que l’analyse est en cours ; les défenseurs doivent partir du principe que l’exploitation active se poursuit et prioriser l’hygiène des applications exposées à Internet ainsi qu’une détection en couches.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Defender Security Research Team
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

Articles connexes

Security

Compromission supply chain Trivy : guide Defender

Microsoft a publié des recommandations de détection, d’investigation et d’atténuation concernant la compromission de la supply chain Trivy de mars 2026, qui a affecté le binaire Trivy et des GitHub Actions associées. Cet incident est important, car il a détourné un outil de sécurité CI/CD de confiance pour voler des identifiants à partir de pipelines de build, d’environnements cloud et de systèmes de développeurs tout en semblant s’exécuter normalement.

Security

Gouvernance des agents IA : aligner l’intention

Microsoft présente un modèle de gouvernance pour les agents IA qui aligne l’intention de l’utilisateur, du développeur, du rôle et de l’organisation. Ce cadre aide les entreprises à garder des agents utiles, sécurisés et conformes en définissant des limites de comportement et un ordre de priorité clair en cas de conflit.

Security

Microsoft Defender : predictive shielding stoppe le ransomware GPO

Microsoft a détaillé un cas réel de ransomware dans lequel le predictive shielding de Defender a détecté un abus malveillant de Group Policy Object avant le début du chiffrement. En renforçant la propagation des GPO et en perturbant les comptes compromis, Defender a bloqué environ 97 % des tentatives de chiffrement et empêché tout appareil d’être chiffré via le chemin de diffusion GPO.

Security

Sécurité agentic AI : Microsoft renforce sa protection

Microsoft a présenté à la RSAC 2026 une stratégie complète pour sécuriser l’agentic AI en entreprise, avec le lancement en disponibilité générale d’Agent 365 le 1er mai et de nouveaux outils de visibilité comme Security Dashboard for AI. Ces annonces comptent car elles visent à aider les équipes IT et sécurité à mieux gouverner les agents AI, limiter les risques de surpartage de données et détecter plus tôt les menaces émergentes liées à l’IA.

Security

CTI-REALM open source : benchmark IA cybersécurité

Microsoft a dévoilé CTI-REALM, un benchmark open source qui évalue si des agents IA peuvent réellement produire des détections de sécurité de bout en bout à partir de rapports de cyber threat intelligence, plutôt que simplement répondre à des questions théoriques. C’est important pour les équipes SOC, car cet outil mesure des résultats opérationnels concrets — sur Linux, AKS et Azure — et aide à comparer la capacité réelle des modèles à soutenir l’ingénierie de détection.

Security

Zero Trust for AI de Microsoft : atelier et architecture

Microsoft a enrichi sa documentation Zero Trust avec une approche dédiée à l’IA, appliquant les principes « verify explicitly », « least privilege » et « assume breach » aux modèles, agents, prompts et sources de données. Cette évolution compte parce qu’elle fournit aux équipes IT et sécurité un cadre concret, renforcé par un nouveau pilier IA dans le Zero Trust Workshop, pour évaluer les risques propres à l’IA et déployer des contrôles adaptés à grande échelle.