SolarWinds Web Help Desk 被利用进行 RCE 的多阶段攻击,针对暴露的服务器
Source: The Hacker News
Ravie Lakshmanan
2026年2月09日 – 漏洞 / 端点安全
微软观察
Microsoft 已披露 他们观察到一次多阶段入侵,威胁行为者利用面向互联网的 SolarWinds Web Help Desk (WHD) 实例获取初始访问权限,并横向移动到组织网络中的其他高价值资产。
Microsoft Defender 安全研究团队指出,目前尚不清楚此次活动是利用 最近披露的漏洞(CVE‑2025‑40551,CVSS 9.8 和 CVE‑2025‑40536,CVSS 8.1)还是 先前已修补的漏洞(CVE‑2025‑26399,CVSS 9.8)。
“由于攻击发生在 2025 年 12 月,并且在同一时间针对同时受旧漏洞和新漏洞影响的机器进行,我们无法可靠地确认用于获取初始立足点的确切 CVE,”该公司在上周发布的报告中表示。
涉及的漏洞
- CVE‑2025‑40536 – 安全控制绕过漏洞,可能允许未认证的攻击者访问受限功能。
- CVE‑2025‑40551 和 CVE‑2025‑26399 – 不受信任数据反序列化缺陷,可能导致远程代码执行。
CISA action
上周,美国 网络安全与基础设施安全局(CISA) 添加 CVE‑2025‑40551 到其 已知被利用漏洞(KEV) 目录,引用了在野外被积极利用的证据。联邦平民行政部门(FCEB)机构被要求在 2026年2月6日 前应用该缺陷的修复。
攻击细节
在 Microsoft 检测到的攻击中,攻击者成功利用暴露的 SolarWinds WHD 实例,实现了未认证的远程代码执行,并在 WHD 应用程序上下文中运行任意命令。
“成功利用后,受损的 WHD 实例服务会生成 PowerShell,以利用 [BITS – Background Intelligent Transfer Service] 下载并执行载荷,”研究人员 Sagar Patil、Hardik Suri、Eric Hopper 和 Kajhon Soyini 如是指出。
观察到的后续行动
- 下载了与 Zoho ManageEngine(一个远程监控管理解决方案)相关的合法组件,以实现持久化的远程控制。
- 枚举 敏感的域用户和组,包括 Domain Admins。
- 通过反向 SSH 和 RDP 访问建立持久性;尝试创建一个计划任务,在系统启动时以 SYSTEM 账户启动 QEMU 虚拟机,从而在隐藏活动的同时通过端口转发暴露 SSH。
- 在部分主机上使用
wab.exe(Windows 地址簿可执行文件)进行 DLL 侧加载,加载恶意 DLL(sspicli.dll),该 DLL 会转储 LSASS 内存以窃取凭证。
在至少一个案例中,Microsoft 报告称威胁行为者实施了 DCSync 攻击(MITRE ATT&CK T1003.006),模拟域控制器向 Active Directory 数据库请求密码哈希及其他敏感数据。
缓解建议
- 打补丁 SolarWinds WHD 实例应及时更新并保持最新。
- 识别并移除 任何未授权的 RMM 工具(例如,恶意的 Zoho ManageEngine 组件)。
- 轮换 服务账户和管理员密码。
- 隔离 已受 compromise 的机器,以限制进一步的横向移动。
- 监控 合法二进制文件的异常使用(例如
wab.exe)以及意外的计划任务或虚拟机启动。
“此活动反映了一种常见但影响巨大的模式:单个暴露的应用程序在漏洞未修补或监控不足时,可能为完整域的妥协提供路径,”该 Windows 制造商表示。
“在此次入侵中,攻击者大量依赖‘活用现有工具’的技术……”
要点
- 深入防御
- 及时修补面向互联网的服务
- 在身份、终端和网络层进行基于行为的检测
觉得这篇文章有趣吗? 关注我们获取更多独家内容: