Microsoft警告SolarWinds WHD遭主动利用与RCE攻击

Introduction: why this matters

面向互联网暴露的业务线（line-of-business）工具依然是高价值目标。Microsoft 已观察到真实攻击：只需攻陷一个 SolarWinds Web Help Desk (WHD) 实例，就可能成为进一步实现域范围沦陷的跳板。该攻击活动的特点包括“living-off-the-land” (LoTL) 行为、滥用合法管理工具以及低噪声持久化——这些战术往往能绕过仅依赖特征的防护控制。

What’s new / what Microsoft observed

Microsoft Defender Research 识别到从外网暴露的 WHD 服务器发起的多阶段入侵：

• Initial access via WHD exploitation (RCE): 成功利用可在 WHD 应用上下文中实现未授权远程代码执行。Microsoft 尚未确认所使用的具体漏洞，但指出受影响系统对 CVE-2025-40551、CVE-2025-40536 和 CVE-2025-26399 均存在暴露。
• Payload delivery using built-in tools: 入侵后，WHD 服务会启动 PowerShell，并使用 BITS 下载并执行载荷。
• Legitimate RMM used for control: 在若干案例中，攻击者安装了 Zoho ManageEngine (RMM) 的组件（例如 ToolsIQ.exe 等痕迹）以获得交互式访问能力。
• Credential access and privilege escalation:
  • 进行域用户/组枚举，包括 Domain Admins。
  • 通过 wab.exe 加载恶意 sspicli.dll 实现 DLL sideloading，从而访问 LSASS 并更隐蔽地窃取凭据。
  • 至少一起事件进一步发展到 DCSync，表明已获得高权限凭据访问能力。
• Persistence and evasion:
  • 反向 SSH 与 RDP 访问。
  • 一种尤为隐蔽的技术：创建计划任务在开机时以 SYSTEM 启动 QEMU，将活动隐藏在 VM 中，同时通过宿主机端口转发 SSH。

Impact on IT admins and end users

• Admins: 任何可公网访问的 WHD 实例都应被视为潜在的域级沦陷入口点。由于攻击者会混入常见管理活动（PowerShell/BITS/RDP/SSH），需要在终端、身份与网络层面开展基于行为的监测。
• End users: 一旦获得域控能力，下游影响可能包括账号接管、密码窃取、服务中断，以及更高的勒索软件或数据窃取风险。

Recommended actions / next steps

1. Patch and reduce exposure immediately
   • 立即应用修复 CVE-2025-40551、CVE-2025-40536 和 CVE-2025-26399 的更新。
   • 在可行情况下移除公网暴露，限制管理访问路径，并提升日志记录（包括 WHD 组件，例如 Ajax Proxy）。
2. Hunt for post-exploitation indicators
   • 使用 Microsoft Defender Vulnerability Management (MDVM) 定位存在漏洞的 WHD 服务器。
   • 在 Defender XDR Advanced Hunting 中，关注源自 WHD 的可疑进程链（例如 wrapper.exe 启动 PowerShell/BITS），并排查在疑似入侵时间窗口后新增的 ManageEngine/RMM 相关痕迹。
3. Evict unauthorized remote tooling
   • 识别并移除异常/未经授权的 ManageEngine RMM 组件，并调查其部署方式与来源。
4. Contain and recover
   • 隔离疑似受影响主机，并从 WHD 可触达的服务账号与管理员账号开始轮换凭据。
   • 调查身份沦陷信号（pass-the-hash/over-pass-the-hash）以及 DCSync 指标。

Microsoft 表示相关分析仍在进行中；防守方应假设主动利用仍在持续，并优先加强面向互联网应用的基础安全卫生与分层检测能力。