Security

SolarWinds WHD sotto attacco: RCE e compromissione AD

3 min di lettura

Riepilogo

Microsoft ha rilevato attacchi reali contro istanze esposte di SolarWinds Web Help Desk, dove una vulnerabilità di esecuzione di codice remoto viene usata per ottenere accesso iniziale e poi muoversi lateralmente fino alla compromissione di Active Directory. La campagna è particolarmente rilevante perché combina tecniche living-off-the-land, PowerShell/BITS e strumenti RMM legittimi per restare discreta, rendendo urgente per le organizzazioni correggere le istanze WHD vulnerabili e rafforzare monitoraggio e segmentazione.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione: perché è importante

Gli strumenti line-of-business esposti su internet restano un obiettivo ad alto valore e Microsoft ha osservato attacchi reali in cui la compromissione di una singola istanza di SolarWinds Web Help Desk (WHD) è diventata un trampolino di lancio verso una compromissione più ampia del dominio. La campagna si distingue per comportamento “living-off-the-land” (LoTL), uso di strumenti amministrativi legittimi e persistenza a basso rumore—tattiche che spesso eludono i controlli basati solo su firme.

Cosa c’è di nuovo / cosa ha osservato Microsoft

Microsoft Defender Research ha identificato intrusioni multi-stage che partono da server WHD esposti:

  • Accesso iniziale tramite sfruttamento di WHD (RCE): Lo sfruttamento riuscito ha consentito esecuzione di codice remoto non autenticata nel contesto dell’applicazione WHD. Microsoft non ha confermato la vulnerabilità specifica utilizzata, ma nota che i sistemi interessati erano vulnerabili a CVE-2025-40551, CVE-2025-40536 e CVE-2025-26399.
  • Distribuzione del payload con strumenti integrati: Dopo la compromissione, il servizio WHD ha avviato PowerShell e ha usato BITS per scaricare ed eseguire i payload.
  • Uso di RMM legittimo per il controllo: In diversi casi, gli attaccanti hanno installato componenti di Zoho ManageEngine (RMM) (ad esempio, artefatti come ToolsIQ.exe) per ottenere accesso interattivo.
  • Accesso alle credenziali ed escalation dei privilegi:
    • Enumerazione di utenti/gruppi di dominio inclusi i Domain Admins.
    • DLL sideloading tramite wab.exe che carica una sspicli.dll malevola, abilitando l’accesso a LSASS e un furto di credenziali più stealth.
    • Almeno un incidente è avanzato fino a DCSync, indicando accesso a credenziali con privilegi elevati.
  • Persistenza ed evasione:
    • Accesso reverse SSH e RDP.
    • Una tecnica particolarmente stealth: una scheduled task che avvia QEMU come SYSTEM all’avvio, nascondendo di fatto l’attività in una VM mentre inoltra SSH su una porta dell’host.

Impatto su amministratori IT e utenti finali

  • Admin: Qualsiasi istanza WHD raggiungibile pubblicamente dovrebbe essere trattata come un potenziale punto di ingresso verso una compromissione dell’intero dominio. Poiché gli attaccanti si confondono con l’attività amministrativa (PowerShell/BITS/RDP/SSH), è essenziale un monitoraggio basato sul comportamento su endpoint, identità e rete.
  • Utenti finali: L’impatto a valle può includere takeover degli account, furto di password, interruzioni di servizio e un rischio più ampio di ransomware o furto dati una volta ottenuto il controllo del dominio.

Azioni consigliate / prossimi passi

  1. Applicare le patch e ridurre immediatamente l’esposizione
    • Applicare gli aggiornamenti che risolvono CVE-2025-40551, CVE-2025-40536 e CVE-2025-26399.
    • Rimuovere l’esposizione pubblica dove possibile, limitare i percorsi amministrativi e aumentare il logging (inclusi componenti WHD come l’Ajax Proxy).
  2. Hunting di indicatori post-exploitation
    • Usare Microsoft Defender Vulnerability Management (MDVM) per individuare i server WHD vulnerabili.
    • In Defender XDR Advanced Hunting, cercare catene di processi sospette originate da WHD (ad esempio wrapper.exe che avvia PowerShell/BITS) e artefatti ManageEngine/RMM aggiunti dopo la finestra di compromissione sospetta.
  3. Rimuovere tooling remoto non autorizzato
    • Identificare e rimuovere componenti ManageEngine RMM inattesi e verificare come sono stati distribuiti.
  4. Contenere e ripristinare
    • Isolare gli host sospetti e ruotare le credenziali iniziando dagli account di servizio e dagli admin raggiungibili da WHD.
    • Indagare segnali di compromissione dell’identità (pass-the-hash/over-pass-the-hash) e indicatori di DCSync.

Microsoft nota che l’analisi è in corso; i difensori dovrebbero assumere che lo sfruttamento attivo continui e dare priorità all’igiene delle applicazioni esposte su internet e al rilevamento multilivello.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

Articoli correlati

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Microsoft Defender predictive shielding ferma ransomware GPO

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.

Security

Sicurezza end-to-end per l’AI agentica con Microsoft

Microsoft ha presentato al RSAC 2026 una strategia di sicurezza end-to-end per l’AI agentica, annunciando la disponibilità generale di Agent 365 dal 1° maggio come piattaforma di controllo per osservare, proteggere e governare gli agenti AI su larga scala. La novità conta perché, insieme a strumenti come Security Dashboard for AI ed Entra Internet Access Shadow AI Detection, offre alle aziende maggiore visibilità sui rischi, aiuta a limitare l’accesso e la condivisione eccessiva dei dati e rafforza la difesa contro minacce AI emergenti.

Security

Microsoft Open Source CTI-REALM per AI Detection

Microsoft has open-sourced CTI-REALM, a new benchmark designed to test whether AI agents can perform real detection engineering work from cyber threat intelligence reports, not just answer cybersecurity questions. It matters because it evaluates end-to-end operational tasks across Linux, Azure Kubernetes Service, and Azure cloud environments, giving security teams a more realistic way to measure how useful AI may be for SOC and detection workflows.

Security

Microsoft Zero Trust for AI: workshop e architettura

Microsoft ha presentato Zero Trust for AI, una guida che estende i principi di Zero Trust agli ambienti AI per aiutare le aziende a proteggere modelli, agenti, dati e decisioni automatizzate. La novità più rilevante è l’aggiunta di un pilastro dedicato all’AI nel Zero Trust Workshop, con 700 controlli di sicurezza, 116 gruppi logici e 33 swim lane funzionali: un aggiornamento importante perché offre ai team IT e sicurezza un framework pratico per valutare i rischi dell’AI e applicare controlli coerenti su processi e tecnologie.