Security

SolarWinds Web Help Desk RCE: Microsoft ostrzega

3 min czytania

Podsumowanie

Microsoft ostrzega przed rzeczywistymi atakami na publicznie dostępne instancje SolarWinds Web Help Desk, w których niezałatane luki RCE pozwalają na nieuwierzytelnione wykonanie kodu i rozpoczęcie wieloetapowego włamania. Kampania jest groźna, bo napastnicy używają legalnych narzędzi administracyjnych, PowerShella, BITS i oprogramowania RMM do cichego utrzymania dostępu, kradzieży poświadczeń i potencjalnego przejęcia całej domeny, co pokazuje, że sama ochrona sygnaturowa nie wystarcza.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie: dlaczego to ma znaczenie

Narzędzia biznesowe wystawione do internetu pozostają celem o wysokiej wartości, a Microsoft zaobserwował rzeczywiste ataki, w których przejęcie pojedynczej instancji SolarWinds Web Help Desk (WHD) stało się przyczółkiem do szerszego przejęcia domeny. Kampania wyróżnia się zachowaniem „living-off-the-land” (LoTL), wykorzystaniem legalnych narzędzi administracyjnych oraz niskoszumową persystencją — taktykami, które często omijają mechanizmy oparte wyłącznie na sygnaturach.

Co nowego / co zaobserwował Microsoft

Microsoft Defender Research zidentyfikował wieloetapowe włamania rozpoczynające się od wystawionych serwerów WHD:

  • Dostęp początkowy przez wykorzystanie WHD (RCE): Skuteczne wykorzystanie umożliwiało nieuwierzytelnione zdalne wykonanie kodu w kontekście aplikacji WHD. Microsoft nie potwierdził konkretnej podatności, ale wskazuje, że dotknięte systemy były podatne na CVE-2025-40551, CVE-2025-40536 oraz CVE-2025-26399.
  • Dostarczenie ładunku przy użyciu narzędzi wbudowanych: Po kompromitacji usługa WHD uruchamiała PowerShell i wykorzystywała BITS do pobrania oraz uruchomienia ładunków.
  • Legalny RMM do kontroli: W kilku przypadkach atakujący instalowali komponenty Zoho ManageEngine (RMM) (np. artefakty takie jak ToolsIQ.exe), aby uzyskać interaktywny dostęp.
  • Dostęp do poświadczeń i eskalacja uprawnień:
    • Enumeracja użytkowników/grup domenowych, w tym Domain Admins.
    • DLL sideloading poprzez wab.exe ładujący złośliwy sspicli.dll, co umożliwiało dostęp do LSASS i bardziej dyskretną kradzież poświadczeń.
    • Co najmniej jeden incydent przeszedł do DCSync, co wskazuje na dostęp do poświadczeń o wysokich uprawnieniach.
  • Persystencja i unikanie wykrycia:
    • Dostęp przez odwrócony SSH i RDP.
    • Szczególnie dyskretna technika: zaplanowane zadanie uruchamiające QEMU jako SYSTEM przy starcie, co w praktyce ukrywało aktywność w VM, jednocześnie tunelując SSH przez port hosta.

Wpływ na administratorów IT i użytkowników końcowych

  • Administratorzy: Każdą publicznie dostępną instancję WHD należy traktować jako potencjalny punkt wejścia do kompromitacji całej domeny. Ponieważ atakujący zlewają się z aktywnością administracyjną (PowerShell/BITS/RDP/SSH), kluczowe jest monitorowanie oparte na zachowaniu w obszarach endpoint, tożsamości i sieci.
  • Użytkownicy końcowi: Skutki wtórne mogą obejmować przejęcie kont, kradzież haseł, zakłócenia usług oraz szersze ryzyko ransomware lub kradzieży danych po uzyskaniu kontroli nad domeną.

Zalecane działania / kolejne kroki

  1. Natychmiast załataj i ogranicz ekspozycję
    • Zastosuj aktualizacje usuwające CVE-2025-40551, CVE-2025-40536 oraz CVE-2025-26399.
    • Usuń publiczną ekspozycję tam, gdzie to możliwe, ogranicz ścieżki administracyjne i zwiększ poziom logowania (w tym dla komponentów WHD, takich jak Ajax Proxy).
  2. Poluj na wskaźniki aktywności po włamaniu
    • Użyj Microsoft Defender Vulnerability Management (MDVM), aby zlokalizować podatne serwery WHD.
    • W Defender XDR Advanced Hunting szukaj podejrzanych łańcuchów procesów wychodzących z WHD (np. wrapper.exe uruchamiający PowerShell/BITS) oraz artefaktów ManageEngine/RMM dodanych po podejrzanym oknie kompromitacji.
  3. Usuń nieautoryzowane narzędzia zdalnego dostępu
    • Zidentyfikuj i usuń nieoczekiwane komponenty ManageEngine RMM oraz zbadaj, jak zostały wdrożone.
  4. Ogranicz skutki i odtwórz środowisko
    • Izoluj podejrzane hosty i zrotuj poświadczenia, zaczynając od kont usługowych i administratorów osiągalnych z WHD.
    • Zbadaj sygnały kompromitacji tożsamości (pass-the-hash/over-pass-the-hash) oraz wskaźniki DCSync.

Microsoft podkreśla, że analiza nadal trwa; zespoły obrony powinny zakładać, że aktywne wykorzystywanie nadal ma miejsce, oraz priorytetyzować higienę aplikacji wystawionych do internetu i wielowarstwową detekcję.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Defender Security Research Team
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

Powiązane artykuły

Security

Kompromitacja łańcucha dostaw Trivy: wskazówki Defender

Microsoft opublikował wskazówki dotyczące wykrywania, badania i ograniczania skutków kompromitacji łańcucha dostaw Trivy z marca 2026 r., która dotknęła binarkę Trivy i powiązane GitHub Actions. Incydent jest istotny, ponieważ wykorzystał zaufane narzędzia bezpieczeństwa CI/CD do kradzieży poświadczeń z potoków buildów, środowisk chmurowych i systemów deweloperskich, jednocześnie pozornie działając normalnie.

Security

Governance AI agentów: zgodność intencji i bezpieczeństwo

Microsoft przedstawia model governance dla AI agents, który łączy intencje użytkownika, dewelopera, role-based oraz organizacji. Framework pomaga firmom utrzymać agentów jako użytecznych, bezpiecznych i zgodnych z wymaganiami, definiując granice zachowań oraz jasną hierarchię priorytetów w razie konfliktów.

Security

{{Microsoft Defender predictive shielding blokuje GPO ransomware}}

{{Microsoft opisał rzeczywisty przypadek ransomware, w którym predictive shielding w Defender wykrył złośliwe nadużycie Group Policy Object jeszcze przed rozpoczęciem szyfrowania. Dzięki wzmocnieniu propagacji GPO i zakłóceniu działania przejętych kont Defender zablokował około 97% prób szyfrowania i nie dopuścił do zaszyfrowania żadnych urządzeń przez ścieżkę dostarczania opartą na GPO.}}

Security

Zabezpieczenia agentic AI od Microsoft na RSAC 2026

Microsoft na RSAC 2026 zaprezentował strategię zabezpieczania agentic AI w firmach, obejmującą ochronę agentów, tożsamości, danych i infrastruktury, a także potwierdził premierę Agent 365 w modelu general availability od 1 maja. To ważne, bo wraz z rosnącym wdrożeniem AI w przedsiębiorstwach organizacje potrzebują narzędzi do centralnego zarządzania ryzykiem, wykrywania nieautoryzowanego użycia AI i ograniczania nadmiernego udostępniania danych.

Security

CTI-REALM open source: benchmark AI do detekcji

Microsoft udostępnił open source benchmark CTI-REALM, który sprawdza, czy agenci AI potrafią wykonywać realną pracę z obszaru inżynierii detekcji — od analizy raportów threat intelligence po tworzenie i walidację reguł detekcji. To ważne dla zespołów SOC i bezpieczeństwa, ponieważ zamiast mierzyć wyłącznie wiedzę modelu, narzędzie ocenia jego skuteczność w praktycznych zadaniach operacyjnych w środowiskach takich jak Linux, AKS i chmura Azure.

Security

Zero Trust for AI od Microsoft: warsztaty i ocena

Microsoft wprowadza wytyczne Zero Trust for AI, które przenoszą zasady Zero Trust na modele, agentów, dane i zautomatyzowane decyzje, aby pomóc firmom bezpiecznie wdrażać AI. Firma rozszerzyła też Zero Trust Workshop o dedykowany filar AI oraz rozbudowane oceny i kontrolki, co ma ułatwić zespołom IT i bezpieczeństwa identyfikację ryzyk takich jak prompt injection czy data poisoning oraz lepsze planowanie zabezpieczeń.