A Microsoft emitiu um alerta informando que ataques direcionados a instâncias do SolarWinds Web Help Desk (WHD) expostas à internet podem ter explorado vulnerabilidades recém-corrigidas como zero-days, possibilitando o acesso inicial de invasores aos ambientes afetados.
Segundo a empresa, os ataques fizeram parte de uma campanha de intrusão em múltiplas etapas identificada em dezembro de 2025. Nesse cenário, agentes maliciosos comprometeram implantações vulneráveis do WHD para executar comandos em PowerShell, além de baixar e executar cargas adicionais nos sistemas atingidos.
Apesar da análise conduzida, a Microsoft afirma não ter conseguido determinar com exatidão quais vulnerabilidades foram utilizadas, uma vez que os sistemas comprometidos estavam suscetíveis tanto a falhas antigas quanto a vulnerabilidades mais recentes do SolarWinds, já conhecidas por estarem sendo exploradas ativamente.
Vulnerabilidades envolvidas
De acordo com a investigação, o produto afetado apresentava falhas relacionadas aos seguintes CVEs:
- CVE-2025-40551 e CVE-2025-40536, corrigidos em janeiro de 2026;
- CVE-2025-26399, corrigido em setembro de 2025.
A vulnerabilidade CVE-2025-26399 é classificada como uma falha de execução remota de código (RCE) não autenticada, causada por deserialização insegura no componente AjaxProxy. Trata-se de um bypass de correções anteriores associadas aos CVEs CVE-2024-28988 e CVE-2024-28986.
Já a CVE-2025-40551 possui a mesma origem no componente AjaxProxy e também permite RCE não autenticada por meio da deserialização de dados não confiáveis. Essa falha foi recentemente incluída no catálogo de vulnerabilidades exploradas ativamente (KEV) da CISA, o que reforça seu alto nível de criticidade.
A CVE-2025-40536, por sua vez, representa um bypass de mecanismos de segurança que pode permitir a criação de instâncias válidas do AjaxProxy, viabilizando a exploração da CVE-2025-40551 para execução remota de código.
“Como os ataques ocorreram em dezembro de 2025 e os sistemas estavam vulneráveis simultaneamente a CVEs antigos e novos, não é possível afirmar com segurança qual vulnerabilidade foi explorada para o acesso inicial”, destacou a Microsoft.
Persistência e movimentação lateral
Após o comprometimento inicial, os atacantes estabeleceram persistência no ambiente por meio da instalação da ferramenta legítima de monitoramento e gerenciamento remoto (RMM) ManageEngine, além da criação de acessos reversos utilizando SSH e RDP.
Também foi identificada a criação de uma tarefa agendada para iniciar uma máquina virtual QEMU com privilégios de sistema, explorando o ambiente virtualizado como técnica de evasão e permitindo acesso SSH por meio de encaminhamento de portas.
Em alguns casos, os invasores recorreram à técnica de DLL sideloading para acessar a memória do processo LSASS, com o objetivo de extrair credenciais. Credenciais de alto privilégio também foram utilizadas em ataques do tipo DCSync, permitindo a solicitação direta de dados de senha aos controladores de domínio.
Recomendações de mitigação
A Microsoft orienta que as organizações adotem as seguintes medidas:
- Atualizar imediatamente as instâncias do SolarWinds Web Help Desk;
- Identificar e remover ferramentas RMM não autorizadas;
- Realizar a rotação de credenciais potencialmente comprometidas;
- Isolar os hosts afetados para evitar a propagação da intrusão.
Segundo a empresa, o incidente reforça um padrão recorrente de alto impacto:
“Uma única aplicação exposta pode ser suficiente para permitir o comprometimento completo de um domínio quando vulnerabilidades não são corrigidas ou monitoradas adequadamente. Nesta intrusão, os atacantes utilizaram amplamente técnicas de living off the land, ferramentas administrativas legítimas e mecanismos de persistência de baixo ruído”, concluiu a Microsoft.
Fonte: www.cisoadvisor.com.br acesso em 10/02/2025 às 11:48
