Security

SolarWinds Web Help Desk RCE: Microsoft о рисках

3 мин. чтения

Кратко

Microsoft сообщила о реальных атаках на SolarWinds Web Help Desk, где злоумышленники получали неаутентифицированное удалённое выполнение кода на интернет-доступных WHD-серверах и затем развивали компрометацию вплоть до домена. Опасность в том, что атакующие применяют малошумные техники living-off-the-land, PowerShell, BITS и легитимные RMM-инструменты, из-за чего такие вторжения сложнее обнаружить и организациям важно срочно проверить экспонированные WHD-инстансы, установить обновления и усилить мониторинг.

Нужна помощь с Security?Поговорить с экспертом

Введение: почему это важно

Доступные из интернета line-of-business-инструменты остаются высокоценной целью, и Microsoft наблюдала реальные атаки, в которых компрометация одного экземпляра SolarWinds Web Help Desk (WHD) становилась трамплином к более широкой компрометации домена. Кампания примечательна поведением “living-off-the-land” (LoTL), использованием легитимных администраторских инструментов и малошумной закрепляемостью — тактиками, которые часто обходят средства защиты, основанные только на сигнатурах.

Что нового / что наблюдала Microsoft

Microsoft Defender Research выявила многоэтапные вторжения, начинавшиеся с экспонированных WHD-серверов:

  • Первичный доступ через эксплуатацию WHD (RCE): успешная эксплуатация обеспечивала неаутентифицированное удалённое выполнение кода в контексте приложения WHD. Microsoft не подтвердила конкретную использованную уязвимость, но отмечает, что затронутые системы были уязвимы к CVE-2025-40551, CVE-2025-40536 и CVE-2025-26399.
  • Доставка нагрузки с использованием встроенных инструментов: после компрометации сервис WHD запускал PowerShell и использовал BITS для загрузки и выполнения полезной нагрузки.
  • Для управления использовался легитимный RMM: в ряде случаев атакующие устанавливали компоненты Zoho ManageEngine (RMM) (например, артефакты вроде ToolsIQ.exe) для получения интерактивного доступа.
  • Доступ к учётным данным и повышение привилегий:
    • Перечисление доменных пользователей/групп, включая Domain Admins.
    • DLL sideloading: wab.exe загружал вредоносный sspicli.dll, что обеспечивало доступ к LSASS и более скрытное похищение учётных данных.
    • Как минимум в одном инциденте злоумышленники дошли до DCSync, что указывает на доступ к учётным данным с высокими привилегиями.
  • Закрепление и уклонение от обнаружения:
    • Реверсный доступ по SSH и RDP.
    • Особенно скрытная техника: запланированная задача, запускающая QEMU под SYSTEM при старте, фактически скрывая активность в VM и проксируя SSH через порт хоста.

Влияние на IT-администраторов и конечных пользователей

  • Администраторы: любой публично доступный экземпляр WHD следует рассматривать как потенциальную точку входа к компрометации на уровне домена. Поскольку атакующие «растворяются» в администраторской активности (PowerShell/BITS/RDP/SSH), критично поведенческое мониторирование на уровнях endpoint, identity и сети.
  • Конечные пользователи: вторичные последствия могут включать захват аккаунтов, кражу паролей, нарушения в работе сервисов, а также повышенный риск ransomware или кражи данных после получения контроля над доменом.

Рекомендуемые действия / дальнейшие шаги

  1. Немедленно установить патчи и сократить внешнюю экспозицию
    • Применить обновления, устраняющие CVE-2025-40551, CVE-2025-40536 и CVE-2025-26399.
    • По возможности убрать публичную доступность, ограничить административные пути и усилить логирование (включая компоненты WHD, такие как Ajax Proxy).
  2. Охотиться за индикаторами постэксплуатации
    • Использовать Microsoft Defender Vulnerability Management (MDVM) для поиска уязвимых WHD-серверов.
    • В Defender XDR Advanced Hunting искать подозрительные цепочки процессов, исходящие от WHD (например, wrapper.exe, порождающий PowerShell/BITS), а также артефакты ManageEngine/RMM, добавленные после предполагаемого окна компрометации.
  3. Удалить несанкционированные средства удалённого управления
    • Выявить и удалить неожиданные компоненты ManageEngine RMM и расследовать, как они были развёрнуты.
  4. Сдерживание и восстановление
    • Изолировать подозрительные хосты и выполнить ротацию учётных данных, начиная с service accounts и администраторов, достижимых с WHD.
    • Проверить сигналы компрометации identity (pass-the-hash/over-pass-the-hash) и индикаторы DCSync.

Microsoft отмечает, что анализ продолжается; защитникам следует исходить из того, что активная эксплуатация продолжается, и приоритизировать гигиену интернет-ориентированных приложений и многоуровневое обнаружение.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Defender Security Research Team
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

Похожие статьи

Security

Компрометация цепочки поставок Trivy: рекомендации Defender

Microsoft опубликовала рекомендации по обнаружению, расследованию и смягчению последствий компрометации цепочки поставок Trivy в марте 2026 года, затронувшей бинарный файл Trivy и связанные GitHub Actions. Инцидент важен тем, что доверенный инструмент безопасности CI/CD был использован для кражи учетных данных из пайплайнов сборки, облачных сред и систем разработчиков, при этом внешне работая как обычно.

Security

Управление AI Agent: выравнивание намерений для безопасности

Microsoft описывает модель управления для AI agents, которая выравнивает намерения пользователя, разработчика, роли и организации. Эта структура помогает компаниям сохранять полезность, безопасность и соответствие требованиям, задавая поведенческие границы и понятный порядок приоритета при возникновении конфликтов.

Security

Predictive shielding в Microsoft Defender против GPO-шифровальщика

Microsoft описала реальный случай ransomware, в котором predictive shielding в Defender обнаружил вредоносное злоупотребление Group Policy Objects (GPO) до начала шифрования. За счёт усиления защиты распространения GPO и блокировки скомпрометированных учётных записей Defender остановил около 97% попыток шифрования и не позволил зашифровать ни одно устройство через путь доставки GPO.

Security

Защита agentic AI: новые решения Microsoft на RSAC

На RSAC 2026 Microsoft представила комплексный набор решений для защиты agentic AI, включая Agent 365, который станет общедоступным 1 мая и позволит централизованно управлять, защищать и контролировать AI-агентов в связке с Defender, Entra и Purview. Это важно, потому что по мере массового внедрения AI-агентов компаниям нужны новые инструменты для выявления теневого использования AI, снижения риска утечек данных и управления доступом в масштабе всей организации.

Security

Microsoft open source CTI-REALM для AI detection engineering

Microsoft открыла CTI-REALM — бенчмарк, который проверяет, могут ли AI-агенты реально выполнять задачи detection engineering: анализировать CTI-отчёты, сопоставлять техники MITRE ATT&CK и создавать/валидировать правила обнаружения. Это важно для SOC и security-команд, потому что инструмент смещает оценку ИИ от теоретических ответов к практическим операционным результатам в Linux, AKS и Azure-средах.

Security

Zero Trust for AI от Microsoft: воркшоп и архитектура

Microsoft представила подход Zero Trust for AI и обновила Zero Trust Workshop, добавив отдельный AI-столп для оценки и проектирования защиты моделей, агентов, данных и автоматизированных решений. Это важно для компаний, внедряющих AI: новые рекомендации помогают системно учитывать риски вроде prompt injection и data poisoning, а также согласовать меры безопасности между IT, ИБ и бизнесом.