Microsoft ha revelado que observó una intrusión de varias etapas que involucró a los actores de amenazas que explotaban instancias de SolarWinds Web Help Desk (WHD) expuestas a Internet para obtener paso auténtico y moverse lateralmente a través de la red de la estructura en dirección a otros activos de detención valía.
Dicho esto, el equipo de investigación de seguridad de Microsoft Defender dijo que no está claro si la actividad se convirtió en un arsenal con fallas recientemente reveladas (CVE-2025-40551, puntuación CVSS: 9.8 y CVE-2025-40536, puntuación CVSS: 8.1), o una vulnerabilidad previamente parcheada (CVE-2025-26399, puntuación CVSS: 9.8).
“Entregado que los ataques ocurrieron en diciembre de 2025 y en máquinas vulnerables al conjunto antiguo y nuevo de CVE al mismo tiempo, no podemos confirmar de modo confiable el CVE exacto utilizado para vencer un punto de apoyo auténtico”, dijo la compañía en un referencia publicado la semana pasada.
Si perfectamente CVE-2025-40536 es una vulnerabilidad de elusión del control de seguridad que podría permitir que un atacante no autenticado obtenga paso a cierta funcionalidad restringida, CVE-2025-40551 y CVE-2025-26399 se refieren a vulnerabilidades de deserialización de datos no confiables que podrían conducir a la ejecución remota de código.
La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2025-40551 a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en la naturaleza. Se ordenó a las agencias del Poder Ejecutor Civil Federal (FCEB) que aplicaran las correcciones para la equivocación antaño del 6 de febrero de 2026.
En los ataques detectados por Microsoft, la explotación exitosa de la instancia expuesta de SolarWinds WHD permitió a los atacantes ganar la ejecución remota de código no autenticado y ejecutar comandos arbitrarios en el interior del contexto de la aplicación WHD.
“Tras una explotación exitosa, el servicio comprometido de una instancia WHD generó PowerShell para rendir BITS (Servicio de transferencia inteligente en segundo plano) para la descarga y ejecución de la carga útil”, señalaron los investigadores Sagar Patil, Hardik Suri, Eric Hopper y Kajhon Soyini.
En la posterior etapa, los actores de amenazas descargaron componentes legítimos asociados con Zoho ManageEngine, una posibilidad legítima de establecimiento y monitoreo remoto (RMM), para permitir un control remoto persistente sobre el sistema infectado. Los atacantes siguieron con una serie de acciones:
- Usuarios y grupos de dominio confidenciales enumerados, incluidos los administradores de dominio.
- Persistencia establecida a través de paso SSH y RDP inverso, y los atacantes todavía intentaron crear una tarea programada para iniciar una máquina imaginario QEMU bajo la cuenta SISTEMA al iniciar el sistema para cubrir las pistas en el interior de un entorno virtualizado mientras exponen el paso SSH a través del reenvío de puertos.
- Se utilizó la carga supletorio de DLL en algunos hosts mediante el uso de “wab.exe”, un ejecutable permitido del sistema asociado con la cartilla de direcciones de Windows, para iniciar una DLL fraudulenta (“sspicli.dll”) para volcar el contenido de la memoria LSASS y realizar robo de credenciales.
En al menos un caso, Microsoft dijo que los actores de amenazas llevaron a final un ataque DCSync, donde se simula un regulador de dominio (DC) para solicitar hashes de contraseñas y otra información confidencial de una almohadilla de datos de Active Directory (AD).
Para contrarrestar la amenaza, se recomienda a los usuarios que mantengan actualizadas las instancias de WHD, busquen y eliminen cualquier utensilio RMM no autorizada, roten las cuentas de servicio y administrador y aíslen las máquinas comprometidas para amojonar la infracción.
“Esta actividad refleja un patrón popular pero de detención impacto: una sola aplicación expuesta puede proporcionar un camino en dirección a el compromiso total del dominio cuando las vulnerabilidades no están parcheadas o no están suficientemente monitoreadas”, dijo el fabricante de Windows.
“En esta intrusión, los atacantes se basaron en gran medida en técnicas de vida de la tierra, herramientas administrativas legítimas y mecanismos de persistencia silenciosos. Estas opciones comerciales refuerzan la importancia de una defensa en profundidad, parches oportunos de los servicios conectados a Internet y detección basada en el comportamiento en las capas de identidad, punto final y red”.
