Security

SolarWinds Web Help Desk RCE: aktivna eksploatacija

3 min čitanja

Sažetak

Microsoft je otkrio aktivne napade na internet-izložene SolarWinds Web Help Desk instance, gde se neautentifikovano RCE koristi kao početna tačka za šire kompromitovanje domena. Posebno zabrinjava to što napadači koriste legitimne alate poput PowerShell-a, BITS-a i RMM rešenja za tihu postojanost i dalji pristup, što ovakve upade čini težim za otkrivanje i naglašava hitnost zakrpa i ograničavanja izloženosti WHD sistema.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod: zašto je ovo važno

Internet-izloženi line-of-business alati ostaju meta visoke vrednosti, a Microsoft je uočio napade u realnom svetu u kojima je kompromitovanje jedne SolarWinds Web Help Desk (WHD) instance poslužilo kao odskočna daska ka širem kompromitovanju domena. Kampanja je značajna po “living-off-the-land” (LoTL) ponašanju, korišćenju legitimnih administratorskih alata i postojanosti sa malo buke — taktikama koje često izmiču kontrolama zasnovanim isključivo na potpisima.

Šta je novo / šta je Microsoft uočio

Microsoft Defender Research je identifikovao višefazne upade koji su započinjali sa izloženih WHD servera:

  • Početni pristup putem WHD eksploatacije (RCE): Uspešna eksploatacija je omogućila neautentifikovano izvršavanje koda na daljinu u kontekstu WHD aplikacije. Microsoft nije potvrdio specifičnu ranjivost koja je korišćena, ali navodi da su pogođeni sistemi bili ranjivi na CVE-2025-40551, CVE-2025-40536 i CVE-2025-26399.
  • Isporuka payload-a korišćenjem ugrađenih alata: Nakon kompromitovanja, WHD servis je pokretao PowerShell i koristio BITS za preuzimanje i izvršavanje payload-a.
  • Legitimni RMM korišćen za kontrolu: U nekoliko slučajeva, napadači su instalirali komponente Zoho ManageEngine (RMM) (npr. artefakte poput ToolsIQ.exe) radi interaktivnog pristupa.
  • Pristup kredencijalima i eskalacija privilegija:
    • Enumeracija domen korisnika/grupa, uključujući Domain Admins.
    • DLL sideloading preko wab.exe koji učitava zlonamerni sspicli.dll, omogućavajući pristup LSASS-u i prikriveniju krađu kredencijala.
    • Najmanje jedan incident je napredovao do DCSync, što ukazuje na pristup kredencijalima visokog nivoa privilegija.
  • Postojanost i izbegavanje detekcije:
    • Reverzni SSH i RDP pristup.
    • Posebno prikrivena tehnika: scheduled task koji pri startu pokreće QEMU pod SYSTEM nalogom, efektivno skrivajući aktivnost u VM-u uz prosleđivanje SSH-a preko porta na hostu.

Uticaj na IT administratore i krajnje korisnike

  • Administratori: Svaka javno dostupna WHD instanca treba da se tretira kao potencijalna ulazna tačka ka kompromitovanju celog domena. Pošto se napadači stapaju sa administratorskom aktivnošću (PowerShell/BITS/RDP/SSH), ključno je praćenje zasnovano na ponašanju kroz endpoint, identitet i mrežu.
  • Krajnji korisnici: Nizvodni uticaj može uključiti preuzimanje naloga, krađu lozinki, prekid usluga i širi rizik od ransomware-a ili krađe podataka nakon sticanja kontrole nad domenom.

Preporučene radnje / sledeći koraci

  1. Odmah primenite zakrpe i smanjite izloženost
    • Primijenite ažuriranja koja adresiraju CVE-2025-40551, CVE-2025-40536 i CVE-2025-26399.
    • Uklonite javnu izloženost gde je moguće, ograničite administrativne putanje i povećajte logovanje (uključujući WHD komponente kao što je Ajax Proxy).
  2. Tragajte za indikatorima aktivnosti nakon kompromitovanja
    • Koristite Microsoft Defender Vulnerability Management (MDVM) da locirate ranjive WHD servere.
    • U Defender XDR Advanced Hunting potražite sumnjive lance procesa koji potiču iz WHD-a (npr. wrapper.exe koji pokreće PowerShell/BITS), kao i ManageEngine/RMM artefakte dodate nakon sumnjivog prozora kompromitovanja.
  3. Uklonite neovlašćene alate za udaljeni pristup
    • Identifikujte i uklonite neočekivane komponente ManageEngine RMM i istražite kako su distribuirane.
  4. Obuzdajte incident i oporavite se
    • Izolujte sumnjive hostove i rotirajte kredencijale, počev od servisnih naloga i administratora dostupnih iz WHD-a.
    • Istražite signale kompromitovanja identiteta (pass-the-hash/over-pass-the-hash) i indikatore DCSync.

Microsoft navodi da je analiza u toku; branioci treba da pretpostave da se aktivna eksploatacija nastavlja i da daju prioritet higijeni internet-izloženih aplikacija i slojevitom otkrivanju.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

Povezani članci

Security

Trivy kompromitacija lanca snabdevanja: Defender

Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.

Security

Upravljanje AI agentima: usklađivanje namere

Microsoft predstavlja model upravljanja za AI agente koji usklađuje korisničku, razvojnu, ulogama zasnovanu i organizacionu nameru. Ovaj okvir pomaže preduzećima da agente održe korisnim, bezbednim i usklađenim tako što definiše granice ponašanja i jasan redosled prioriteta kada dođe do konflikta.

Security

Defender predictive shielding zaustavlja GPO ransomware

Microsoft je opisao stvarni slučaj ransomware napada u kome je Defender predictive shielding otkrio zloupotrebu Group Policy Object (GPO) mehanizama pre početka enkripcije. Ojačavanjem propagacije GPO-a i prekidanjem kompromitovanih naloga, Defender je blokirao oko 97% pokušaja enkripcije i sprečio da bilo koji uređaj bude šifrovan putem GPO kanala isporuke.

Security

Microsoft agentic AI bezbednost na RSAC 2026

Microsoft je na RSAC 2026 predstavio sveobuhvatnu strategiju za bezbednost agentic AI sistema, uključujući skoru opštu dostupnost platforme Agent 365 od 1. maja, uz integraciju sa Defender, Entra i Purview alatima za upravljanje, zaštitu pristupa i sprečavanje prekomernog deljenja podataka. Ovo je važno jer kompanijama donosi bolju vidljivost AI rizika, otkrivanje neovlašćene upotrebe AI aplikacija i jaču zaštitu identiteta i podataka kako se AI agenti sve brže uvode u poslovna okruženja.

Security

Microsoft CTI-REALM open-source benchmark za AI detekciju

Microsoft je predstavio CTI-REALM, open-source benchmark koji proverava da li AI agenti mogu da obavljaju stvaran detection engineering posao, od analize threat intelligence izveštaja do pravljenja i validacije detekcionih pravila. To je važno za SOC i bezbednosne timove jer pomera procenu AI alata sa teorijskog cyber znanja na merljive operativne rezultate u realnim okruženjima poput Linux endpointa, AKS-a i Azure infrastrukture.

Security

Microsoft Zero Trust za AI: radionica i arhitektura

Microsoft je predstavio smernice „Zero Trust for AI“ i proširio svoj Zero Trust Workshop namenskim AI stubom, kako bi organizacije lakše procenile i uvele bezbednosne kontrole za modele, agente, podatke i automatizovane odluke. Ovo je važno jer kompanijama daje strukturisan okvir za zaštitu od rizika kao što su prompt injection, data poisoning i preširoka ovlašćenja, uz bolju usklađenost bezbednosnih, IT i poslovnih timova.