Security

SolarWinds Web Help Desk sob ataque: RCE e DCSync

3 min de leitura

Resumo

A Microsoft identificou ataques reais contra instâncias expostas do SolarWinds Web Help Desk, explorando falhas de execução remota de código para obter acesso inicial e avançar dentro do ambiente com PowerShell, BITS e ferramentas administrativas legítimas. Isso importa porque uma única instância vulnerável pode servir de ponte para comprometimento mais amplo do domínio, dificultando a detecção ao usar técnicas de baixo ruído e “living-off-the-land”.

Precisa de ajuda com Security?Fale com um especialista

Introdução: por que isso importa

Ferramentas line-of-business expostas à internet continuam sendo um alvo de alto valor, e a Microsoft observou ataques no mundo real em que comprometer uma única instância do SolarWinds Web Help Desk (WHD) se tornou um trampolim para um comprometimento mais amplo do domínio. A campanha se destaca por comportamento “living-off-the-land” (LoTL), uso de ferramentas administrativas legítimas e persistência de baixo ruído — táticas que muitas vezes escapam de controles baseados apenas em assinaturas.

O que há de novo / o que a Microsoft observou

A Microsoft Defender Research identificou intrusões em múltiplas etapas iniciando a partir de servidores WHD expostos:

  • Acesso inicial via exploração do WHD (RCE): A exploração bem-sucedida permitiu execução remota de código não autenticada no contexto da aplicação WHD. A Microsoft não confirmou a vulnerabilidade específica usada, mas observa que os sistemas afetados estavam vulneráveis a CVE-2025-40551, CVE-2025-40536 e CVE-2025-26399.
  • Entrega de payload usando ferramentas nativas: Após o comprometimento, o serviço WHD gerou PowerShell e usou BITS para baixar e executar payloads.
  • RMM legítimo usado para controle: Em vários casos, os atacantes instalaram componentes do Zoho ManageEngine (RMM) (por exemplo, artefatos como ToolsIQ.exe) para obter acesso interativo.
  • Acesso a credenciais e escalonamento de privilégios:
    • Enumeração de usuários/grupos do domínio, incluindo Domain Admins.
    • DLL sideloading via wab.exe carregando um sspicli.dll malicioso, permitindo acesso ao LSASS e uma extração de credenciais mais furtiva.
    • Pelo menos um incidente evoluiu para DCSync, indicando acesso a credenciais de alto privilégio.
  • Persistência e evasão:
    • Acesso reverso via SSH e RDP.
    • Uma técnica particularmente furtiva: uma tarefa agendada iniciando o QEMU sob SYSTEM na inicialização, efetivamente ocultando a atividade em uma VM enquanto encaminha SSH por uma porta do host.

Impacto para administradores de TI e usuários finais

  • Admins: Qualquer instância do WHD publicamente acessível deve ser tratada como um possível ponto de entrada para comprometimento em todo o domínio. Como os atacantes se misturam à atividade administrativa (PowerShell/BITS/RDP/SSH), o monitoramento baseado em comportamento em endpoint, identidade e rede é essencial.
  • Usuários finais: O impacto a jusante pode incluir tomada de conta, roubo de senhas, interrupção de serviços e um risco mais amplo de ransomware ou exfiltração de dados quando o controle de domínio é obtido.

Ações recomendadas / próximos passos

  1. Aplique patches e reduza a exposição imediatamente
    • Aplique atualizações que endereçam CVE-2025-40551, CVE-2025-40536 e CVE-2025-26399.
    • Remova a exposição pública quando possível, restrinja caminhos administrativos e aumente o logging (incluindo componentes do WHD, como o Ajax Proxy).
  2. Caça a indicadores de pós-exploração
    • Use Microsoft Defender Vulnerability Management (MDVM) para localizar servidores WHD vulneráveis.
    • No Defender XDR Advanced Hunting, procure cadeias de processos suspeitas originadas do WHD (por exemplo, wrapper.exe gerando PowerShell/BITS) e por artefatos de ManageEngine/RMM adicionados após a janela suspeita de comprometimento.
  3. Remova ferramentas remotas não autorizadas
    • Identifique e remova componentes inesperados do ManageEngine RMM e investigue como foram implantados.
  4. Conter e recuperar
    • Isole hosts suspeitos e faça rotação de credenciais, começando por contas de serviço e admins acessíveis a partir do WHD.
    • Investigue sinais de comprometimento de identidade (pass-the-hash/over-pass-the-hash) e indicadores de DCSync.

A Microsoft observa que a análise está em andamento; defensores devem assumir que a exploração ativa continua e priorizar a higiene de aplicações expostas à internet e a detecção em camadas.

Precisa de ajuda com Security?

Nossos especialistas podem ajudá-lo a implementar e otimizar suas soluções Microsoft.

Fale com um especialista

Fique atualizado sobre as tecnologias Microsoft

Ler o artigo original de Microsoft Defender Security Research Team
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

Posts relacionados

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.