Security

SolarWinds Web Help Desk RCE: aktiv utnyttelse

3 min lesing

Sammendrag

Microsoft har observert aktive, flertrinns angrep mot internett-eksponerte SolarWinds Web Help Desk-servere der uautentisert RCE brukes som inngang til videre kompromittering av Windows-domener. Angriperne misbruker legitime verktøy som PowerShell, BITS og Zoho ManageEngine for lavstøy-persistens og lateral bevegelse, noe som gjør dette viktig fordi tradisjonelle signaturbaserte kontroller lettere kan overses og fordi sårbare WHD-installasjoner kan bli et springbrett til full domeneovertakelse.

Trenger du hjelp med Security?Snakk med en ekspert

Innledning: hvorfor dette betyr noe

Forretningskritiske line-of-business-verktøy som er eksponert mot internett, er fortsatt et høyverdimål, og Microsoft har observert reelle angrep der kompromittering av én SolarWinds Web Help Desk (WHD)-instans ble et springbrett til bredere domene-kompromittering. Kampanjen er bemerkelsesverdig for “living-off-the-land” (LoTL)-atferd, bruk av legitime admin-verktøy og persistens med lavt støynivå—taktikker som ofte unngår kontroller basert kun på signaturer.

Hva er nytt / hva Microsoft observerte

Microsoft Defender Research identifiserte flertrinns inntrengninger som startet fra eksponerte WHD-servere:

  • Initial access via WHD-utnyttelse (RCE): Vellykket utnyttelse muliggjorde uautentisert remote code execution i WHD-applikasjonskonteksten. Microsoft har ikke bekreftet den spesifikke sårbarheten som ble brukt, men bemerker at berørte systemer var sårbare for CVE-2025-40551, CVE-2025-40536 og CVE-2025-26399.
  • Payload-levering med innebygde verktøy: Etter kompromittering startet WHD-tjenesten PowerShell og brukte BITS til å laste ned og kjøre payloads.
  • Legitim RMM brukt for kontroll: I flere tilfeller installerte angripere komponenter av Zoho ManageEngine (RMM) (f.eks. artefakter som ToolsIQ.exe) for å få interaktiv tilgang.
  • Credential access og privilege escalation:
    • Enumerering av domene-brukere/grupper, inkludert Domain Admins.
    • DLL sideloading via wab.exe som lastet en ondsinnet sspicli.dll, muliggjorde LSASS-tilgang og mer skjult credential theft.
    • Minst én hendelse utviklet seg til DCSync, noe som indikerer credential access med høy privilegiering.
  • Persistens og evasion:
    • Reverse SSH- og RDP-tilgang.
    • En spesielt snikende teknikk: en scheduled task som startet QEMU under SYSTEM ved oppstart, som effektivt skjulte aktivitet i en VM samtidig som SSH ble videresendt over en host-port.

Konsekvens for IT-admins og sluttbrukere

  • Admins: Enhver WHD-instans som er offentlig tilgjengelig, bør behandles som et potensielt inngangspunkt til domeneomfattende kompromittering. Fordi angripere blander seg inn i administrativ aktivitet (PowerShell/BITS/RDP/SSH), er atferdsbasert overvåking på tvers av endpoint, identity og network avgjørende.
  • Sluttbrukere: Nedstrømseffekten kan omfatte konto-overtakelse, passordtyveri, tjenesteavbrudd og økt risiko for ransomware eller datatyveri når domain control er oppnådd.

Anbefalte tiltak / neste steg

  1. Patch og reduser eksponering umiddelbart
    • Installer oppdateringer som adresserer CVE-2025-40551, CVE-2025-40536 og CVE-2025-26399.
    • Fjern offentlig eksponering der det er mulig, begrens admin-stier, og øk logging (inkludert WHD-komponenter som Ajax Proxy).
  2. Jakt etter post-exploitation-indikatorer
    • Bruk Microsoft Defender Vulnerability Management (MDVM) for å finne sårbare WHD-servere.
    • I Defender XDR Advanced Hunting, se etter mistenkelige prosesskjeder som starter fra WHD (f.eks. wrapper.exe som starter PowerShell/BITS), og etter ManageEngine/RMM-artefakter lagt til etter det antatte kompromitteringsvinduet.
  3. Fjern uautorisert remote tooling
    • Identifiser og fjern uventede ManageEngine RMM-komponenter, og undersøk hvordan de ble distribuert.
  4. Begrens skade og gjenopprett
    • Isoler mistenkte verter og roter credentials, med start i service accounts og admins som er tilgjengelige fra WHD.
    • Undersøk signaler på identity compromise (pass-the-hash/over-pass-the-hash) og DCSync-indikatorer.

Microsoft bemerker at analysen pågår; forsvarere bør anta at aktiv utnyttelse fortsetter og prioritere hygiene for internett-eksponerte applikasjoner og lagdelt deteksjon.

Trenger du hjelp med Security?

Våre eksperter kan hjelpe deg med å implementere og optimalisere dine Microsoft-løsninger.

Snakk med en ekspert

Hold deg oppdatert om Microsoft-teknologier

Les originalartikkelen av Microsoft Defender Security Research Team
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

Relaterte innlegg

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.