Security

SolarWinds Web Help Desk RCE actief misbruikt

3 min leestijd

Samenvatting

Microsoft ziet actieve aanvallen op internet-blootgestelde SolarWinds Web Help Desk-servers, waarbij aanvallers via unauthenticated remote code execution binnenkomen en vervolgens met PowerShell, BITS en legitieme beheertools verder het netwerk in bewegen. Dit is belangrijk omdat één gecompromitteerde WHD-instance kan uitgroeien tot bredere domeincompromittering, terwijl de gebruikte ‘living-off-the-land’-technieken traditionele, op signatures gebaseerde detectie vaak omzeilen.

Hulp nodig met Security?Praat met een expert

Introductie: waarom dit belangrijk is

Internet-exposed line-of-business tools blijven een high-value target, en Microsoft heeft real-world aanvallen waargenomen waarbij het compromitteren van één SolarWinds Web Help Desk (WHD)-instance een opstap werd naar bredere domeincompromittering. De campagne valt op door “living-off-the-land” (LoTL)-gedrag, het gebruik van legitieme admin tooling en low-noise persistence—tactieken die vaak signature-only controls omzeilen.

Wat is nieuw / wat Microsoft observeerde

Microsoft Defender Research identificeerde multi-stage intrusions die starten vanaf exposed WHD-servers:

  • Initial access via WHD-exploitatie (RCE): Succesvolle exploitatie maakte unauthenticated remote code execution mogelijk in de WHD-application context. Microsoft heeft de specifieke gebruikte kwetsbaarheid niet bevestigd, maar merkt op dat getroffen systemen kwetsbaar waren voor CVE-2025-40551, CVE-2025-40536 en CVE-2025-26399.
  • Payload delivery met ingebouwde tools: Na compromittering startte de WHD-service PowerShell en gebruikte BITS om payloads te downloaden en uit te voeren.
  • Legitieme RMM gebruikt voor controle: In meerdere gevallen installeerden aanvallers componenten van Zoho ManageEngine (RMM) (bijv. artifacts zoals ToolsIQ.exe) om interactieve toegang te krijgen.
  • Credential access en privilege escalation:
    • Enumeratie van domain users/groups inclusief Domain Admins.
    • DLL sideloading via wab.exe die een kwaadaardige sspicli.dll laadt, waardoor LSASS access en stealthier credential theft mogelijk wordt.
    • Minstens één incident escaleerde naar DCSync, wat wijst op high-privilege credential access.
  • Persistence en evasion:
    • Reverse SSH- en RDP-toegang.
    • Een bijzonder stealthy techniek: een scheduled task die QEMU onder SYSTEM bij startup start, waarmee activiteit effectief in een VM wordt verborgen terwijl SSH via een host-port wordt geforward.

Impact op IT-admins en eindgebruikers

  • Admins: Elke publiek bereikbare WHD-instance moet worden behandeld als een potentieel entry point naar domain-wide compromise. Omdat aanvallers opgaan in administratieve activiteit (PowerShell/BITS/RDP/SSH), is behavior-based monitoring over endpoint, identity en network essentieel.
  • Eindgebruikers: De downstream impact kan bestaan uit account takeover, password theft, service disruption en een breder risico op ransomware of data theft zodra domeincontrole is bereikt.

Aanbevolen acties / volgende stappen

  1. Patch en reduceer exposure onmiddellijk
    • Pas updates toe die CVE-2025-40551, CVE-2025-40536 en CVE-2025-26399 adresseren.
    • Verwijder public exposure waar mogelijk, beperk admin paths en verhoog logging (inclusief WHD-componenten zoals de Ajax Proxy).
  2. Hunt op post-exploitation indicators
    • Gebruik Microsoft Defender Vulnerability Management (MDVM) om kwetsbare WHD-servers te vinden.
    • Zoek in Defender XDR Advanced Hunting naar suspicious process chains die vanuit WHD ontstaan (bijv. wrapper.exe die PowerShell/BITS start), en naar ManageEngine/RMM-artifacts die na het vermoedelijke compromise window zijn toegevoegd.
  3. Verwijder unauthorized remote tooling
    • Identificeer en verwijder onverwachte ManageEngine RMM-componenten en onderzoek hoe deze zijn gedeployed.
  4. Contain en herstel
    • Isoleer verdachte hosts en rotate credentials, te beginnen met service accounts en admins die vanaf WHD bereikbaar zijn.
    • Onderzoek op identity compromise signals (pass-the-hash/over-pass-the-hash) en DCSync-indicatoren.

Microsoft merkt op dat de analyse nog loopt; defenders moeten ervan uitgaan dat actieve exploitatie doorgaat en prioriteit geven aan internet-facing application hygiene en layered detection.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Defender Security Research Team
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

Gerelateerde artikelen

Security

Trivy supply chain-aanval: Defender-richtlijnen

Microsoft heeft detectie-, onderzoeks- en mitigatierichtlijnen gepubliceerd voor het Trivy supply chain-compromis van maart 2026, dat de Trivy-binary en gerelateerde GitHub Actions trof. Het incident is belangrijk omdat vertrouwde CI/CD-beveiligingstools werden misbruikt om referenties te stelen uit buildpijplijnen, cloudomgevingen en ontwikkelaarsystemen terwijl alles ogenschijnlijk normaal bleef werken.

Security

AI-agentgovernance: intent afstemmen voor security

Microsoft schetst een governancemodel voor AI-agents dat gebruikers-, ontwikkelaars-, rolgebaseerde en organisatorische intent op elkaar afstemt. Het framework helpt ondernemingen agents nuttig, veilig en compliant te houden door gedragsgrenzen en een duidelijke rangorde te definiëren wanneer conflicten ontstaan.

Security

Microsoft Defender predictive shielding stopt GPO-ransomware

Microsoft beschreef een praktijkgeval van ransomware waarbij Defender’s predictive shielding misbruik van Group Policy Objects (GPO’s) detecteerde voordat encryptie begon. Door GPO-verspreiding te verharden en gecompromitteerde accounts te verstoren, blokkeerde Defender ongeveer 97% van de poging tot encryptie en voorkwam het dat apparaten via het GPO-distributiepad werden versleuteld.

Security

Microsoft beveiliging voor agentic AI op RSAC 2026

Microsoft presenteerde op RSAC 2026 een end-to-end beveiligingsaanpak voor agentic AI, met als belangrijkste aankondiging dat Agent 365 op 1 mei algemeen beschikbaar wordt als control plane om AI-agents op schaal te beheren, beveiligen en monitoren. Daarnaast introduceert het bedrijf nieuwe zichtbaarheidstools zoals het Security Dashboard for AI en Entra Internet Access Shadow AI Detection, wat belangrijk is omdat organisaties sneller AI inzetten en daardoor meer risico lopen op datalekken, onbeheerd AI-gebruik en nieuwe dreigingen.

Security

CTI-REALM open-source benchmark voor AI-detectie

Microsoft heeft CTI-REALM uitgebracht, een open-source benchmark die meet of AI-agents daadwerkelijk bruikbare detectieregels kunnen bouwen en valideren op basis van threat intelligence, in plaats van alleen cybervragen te beantwoorden. Dat is relevant voor security- en SOC-teams, omdat het een realistischer beeld geeft van de praktische inzetbaarheid van AI in detectie-engineering over Linux, AKS en Azure-omgevingen.

Security

Microsoft Zero Trust for AI: workshop en architectuur

Microsoft heeft zijn Zero Trust-aanpak uitgebreid naar AI met nieuwe richtlijnen en een aparte AI-pijler in de Zero Trust Workshop, zodat organisaties risico’s rond modellen, agents, prompts en databronnen systematisch kunnen beoordelen. Dit is belangrijk omdat bedrijven AI snel invoeren en securityteams daarmee concrete handvatten krijgen om dreigingen zoals prompt injection, data poisoning en ongeautoriseerde toegang beter te beheersen.