Security

SolarWinds Web Help Desk istismarı: Microsoft uyarısı

3 dk okuma

Özet

Microsoft, internete açık SolarWinds Web Help Desk sunucularının istismar edilerek kimlik doğrulaması olmadan uzaktan kod çalıştırma ile ilk erişim elde edildiği ve bunun daha geniş bir domain ele geçirmeye sıçrama noktası olarak kullanıldığı gerçek saldırılar gözlemlediğini açıkladı. Saldırganların PowerShell, BITS ve meşru RMM araçları gibi yerleşik/yasal araçlarla düşük gürültülü ilerlemesi, yalnızca imza tabanlı savunmaların yetersiz kalabileceğini gösteriyor; bu nedenle kurumların WHD örneklerini acilen yamalaması, internet erişimini kısıtlaması ve kimlik bilgisi hırsızlığı ile yanal hareket belirtilerini yakından izlemesi önemli.

Security konusunda yardıma mı ihtiyacınız var?Bir uzmanla konuşun

Giriş: neden önemli

İnternete açık iş uygulamaları yüksek değerli hedefler olmaya devam ediyor ve Microsoft, tek bir SolarWinds Web Help Desk (WHD) örneğinin ele geçirilmesinin daha geniş bir domain ele geçirmeye giden yolda basamak olarak kullanıldığı gerçek saldırılar gözlemledi. Kampanya; “living-off-the-land” (LoTL) davranışları, meşru yönetici araçlarının kullanımı ve düşük gürültülü kalıcılık ile dikkat çekiyor—bu taktikler çoğu zaman yalnızca imzaya dayalı kontrolleri atlatabiliyor.

Yenilikler / Microsoft’un gözlemledikleri

Microsoft Defender Research, internete açık WHD sunucularından başlayan çok aşamalı ihlaller tespit etti:

  • WHD istismarıyla ilk erişim (RCE): Başarılı istismar, WHD uygulama bağlamında kimlik doğrulaması olmadan uzaktan kod yürütmeyi mümkün kıldı. Microsoft kullanılan spesifik zafiyeti doğrulamadı; ancak etkilenen sistemlerin CVE-2025-40551, CVE-2025-40536 ve CVE-2025-26399 açıklarına karşı savunmasız olduğunu belirtiyor.
  • Yerleşik araçlarla yük (payload) teslimi: Ele geçirmenin ardından WHD hizmeti PowerShell başlattı ve yükleri indirip çalıştırmak için BITS kullandı.
  • Kontrol için meşru RMM kullanımı: Bazı vakalarda saldırganlar etkileşimli erişim elde etmek için Zoho ManageEngine (RMM) bileşenlerini (ör. ToolsIQ.exe gibi artefaktlar) yükledi.
  • Kimlik bilgisi elde etme ve yetki yükseltme:
    • Domain Admins dahil domain kullanıcı/grup keşfi.
    • wab.exe’nin kötü amaçlı sspicli.dll’i yüklemesiyle DLL sideloading; bu sayede LSASS erişimi ve daha gizli kimlik bilgisi hırsızlığı.
    • En az bir olay DCSync aşamasına ilerledi; bu da yüksek ayrıcalıklı kimlik bilgisi erişimine işaret ediyor.
  • Kalıcılık ve kaçınma:
    • Ters SSH ve RDP erişimi.
    • Özellikle gizli bir teknik: başlangıçta SYSTEM altında QEMU çalıştıran bir scheduled task; etkinliği bir VM içinde saklarken host portu üzerinden SSH yönlendirmesi yapıyor.

IT yöneticileri ve son kullanıcılar üzerindeki etkiler

  • Yöneticiler: Kamuya açık erişilebilir herhangi bir WHD örneği, domain genelinde ele geçirmeye giden potansiyel bir giriş noktası olarak değerlendirilmelidir. Saldırganlar yönetim faaliyetlerine (PowerShell/BITS/RDP/SSH) karıştığı için uç nokta, kimlik ve ağ genelinde davranış tabanlı izleme kritik önem taşır.
  • Son kullanıcılar: Domain kontrolü elde edildikten sonra sonuçlar; hesap ele geçirme, parola hırsızlığı, hizmet kesintisi ve daha geniş çaplı fidye yazılımı veya veri hırsızlığı riski olabilir.

Önerilen aksiyonlar / sonraki adımlar

  1. Hemen yamalayın ve dışa açıklığı azaltın
    • CVE-2025-40551, CVE-2025-40536 ve CVE-2025-26399 için güncellemeleri uygulayın.
    • Mümkünse public exposure’ı kaldırın, yönetim yollarını kısıtlayın ve loglamayı artırın (Ajax Proxy gibi WHD bileşenleri dahil).
  2. İstismar sonrası göstergeler için avcılık yapın
    • Savunmasız WHD sunucularını bulmak için Microsoft Defender Vulnerability Management (MDVM) kullanın.
    • Defender XDR Advanced Hunting içinde, WHD’den başlayan şüpheli process zincirlerini (ör. wrapper.exe’nin PowerShell/BITS başlatması) ve şüpheli ihlal penceresinden sonra eklenen ManageEngine/RMM artefaktlarını arayın.
  3. Yetkisiz uzak yönetim araçlarını ortamdan çıkarın
    • Beklenmedik ManageEngine RMM bileşenlerini tespit edin, kaldırın ve nasıl dağıtıldıklarını araştırın.
  4. Sınırlayın ve toparlayın
    • Şüpheli host’ları izole edin ve WHD’den erişilebilen servis hesapları ve admin’lerden başlayarak kimlik bilgilerini döndürün.
    • Kimlik ihlali sinyallerini (pass-the-hash/over-pass-the-hash) ve DCSync göstergelerini araştırın.

Microsoft, analizin sürdüğünü belirtiyor; savunma ekipleri aktif istismarın devam ettiğini varsaymalı ve internete açık uygulama hijyenini ile katmanlı tespiti önceliklendirmeli.

Security konusunda yardıma mı ihtiyacınız var?

Uzmanlarımız Microsoft çözümlerinizi uygulamanıza ve optimize etmenize yardımcı olabilir.

Bir uzmanla konuşun

Microsoft teknolojileri hakkında güncel kalın

Microsoft Defender Security Research Team tarafından orijinal makaleyi oku
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

İlgili Yazılar

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.