Security

SolarWinds Web Help Desk RCE exploateras aktivt

3 min läsning

Sammanfattning

Microsoft varnar för pågående attacker där internetexponerade SolarWinds Web Help Desk-servrar utnyttjas för oautentiserad fjärrkörning av kod, vilket sedan används för att ladda ned payloads, installera legitima fjärrhanteringsverktyg och röra sig vidare i miljön. Det är viktigt eftersom en enskild komprometterad WHD-instans kan bli en väg till bredare domänkompromettering, samtidigt som angriparna använder lågbrusiga "living-off-the-land"-metoder som är svårare att upptäcka med traditionella signaturbaserade skydd.

Behöver du hjälp med Security?Prata med en expert

Introduktion: varför detta spelar roll

Internetexponerade line-of-business-verktyg fortsätter att vara högvärdiga mål, och Microsoft har observerat verkliga attacker där kompromettering av en enda SolarWinds Web Help Desk (WHD)-instans blev en språngbräda till bredare domänkompromettering. Kampanjen är anmärkningsvärd för “living-off-the-land” (LoTL)-beteende, användning av legitima adminverktyg och lågbrusig persistens—taktiker som ofta undgår kontroller som enbart bygger på signaturer.

Vad som är nytt / vad Microsoft observerade

Microsoft Defender Research identifierade intrång i flera steg som startade från exponerade WHD-servrar:

  • Initial åtkomst via WHD-exploatering (RCE): Lyckad exploatering möjliggjorde oautentiserad fjärrkörning av kod i WHD-applikationens kontext. Microsoft har inte bekräftat den specifika sårbarheten som användes, men noterar att drabbade system var sårbara för CVE-2025-40551, CVE-2025-40536 och CVE-2025-26399.
  • Leverans av payload med inbyggda verktyg: Efter kompromettering startade WHD-tjänsten PowerShell och använde BITS för att ladda ned och köra payloads.
  • Legitim RMM använd för kontroll: I flera fall installerade angripare komponenter av Zoho ManageEngine (RMM) (t.ex. artefakter som ToolsIQ.exe) för att få interaktiv åtkomst.
  • Åtkomst till autentiseringsuppgifter och privilegieeskalering:
    • Uppräkning av domänanvändare/-grupper inklusive Domain Admins.
    • DLL sideloading via wab.exe som laddade en skadlig sspicli.dll, vilket möjliggjorde LSASS-åtkomst och mer smygande stöld av autentiseringsuppgifter.
    • Minst en incident gick vidare till DCSync, vilket indikerar åtkomst till autentiseringsuppgifter med höga privilegier.
  • Persistens och undvikande:
    • Omvänd SSH- och RDP-åtkomst.
    • En särskilt smygande teknik: en scheduled task som startar QEMU under SYSTEM vid uppstart, vilket i praktiken döljer aktivitet i en VM samtidigt som SSH vidarebefordras via en värdport.

Påverkan på IT-administratörer och slutanvändare

  • Administratörer: Varje publikt nåbar WHD-instans bör behandlas som en potentiell ingång till domänomfattande kompromettering. Eftersom angripare smälter in i administrativ aktivitet (PowerShell/BITS/RDP/SSH) är beteendebaserad övervakning över endpoint, identitet och nätverk avgörande.
  • Slutanvändare: Nedströmspåverkan kan omfatta kontoövertagande, lösenordsstöld, tjänstestörningar samt ökad risk för ransomware eller datastöld när domänkontroll uppnås.

Rekommenderade åtgärder / nästa steg

  1. Patcha och minska exponeringen omedelbart
    • Applicera uppdateringar som åtgärdar CVE-2025-40551, CVE-2025-40536 och CVE-2025-26399.
    • Ta bort publik exponering där det är möjligt, begränsa adminvägar och öka loggning (inklusive WHD-komponenter som Ajax Proxy).
  2. Jaga efter indikatorer på post-exploatering
    • Använd Microsoft Defender Vulnerability Management (MDVM) för att hitta sårbara WHD-servrar.
    • I Defender XDR Advanced Hunting, leta efter misstänkta processkedjor som härstammar från WHD (t.ex. wrapper.exe som startar PowerShell/BITS), samt efter ManageEngine/RMM-artefakter som lagts till efter det misstänkta komprometteringsfönstret.
  3. Avlägsna obehöriga fjärrverktyg
    • Identifiera och ta bort oväntade ManageEngine RMM-komponenter och utred hur de distribuerades.
  4. Inneslut och återställ
    • Isolera misstänkta värdar och rotera autentiseringsuppgifter med start i servicekonton och administratörer som kan nås från WHD.
    • Utred signaler på identitetskompromettering (pass-the-hash/over-pass-the-hash) och DCSync-indikatorer.

Microsoft noterar att analysen pågår; defenders bör utgå från att aktiv exploatering fortsätter och prioritera hygien för internetexponerade applikationer samt detektion i flera lager.

Behöver du hjälp med Security?

Våra experter kan hjälpa dig att implementera och optimera dina Microsoft-lösningar.

Prata med en expert

Håll dig uppdaterad om Microsoft-teknologier

Läs originalartikeln av Microsoft Defender Security Research Team
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

Relaterade inlägg

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.