Microsoft ha revelado que observó una intrusión de varias etapas que involucró a los actores de amenazas que explotaban instancias de SolarWinds Web Help Desk (WHD) expuestas a Internet para obtener acceso inicial y moverse lateralmente a través de la red de la organización hacia otros activos de alto valor.
Dicho esto, el equipo de investigación de seguridad de Microsoft Defender dijo que no está claro si la actividad se convirtió en un arma con fallas recientemente reveladas (CVE-2025-40551, puntuación CVSS: 9.8 y CVE-2025-40536, puntuación CVSS: 8.1), o una vulnerabilidad previamente parcheada (CVE-2025-26399, puntuación CVSS: 9.8).
«Dado que los ataques ocurrieron en diciembre de 2025 y en máquinas vulnerables al conjunto antiguo y nuevo de CVE al mismo tiempo, no podemos confirmar de manera confiable el CVE exacto utilizado para ganar un punto de apoyo inicial», dijo la compañía en un informe publicado la semana pasada.
Si bien CVE-2025-40536 es una vulnerabilidad de elusión del control de seguridad que podría permitir que un atacante no autenticado obtenga acceso a cierta funcionalidad restringida, CVE-2025-40551 y CVE-2025-26399 se refieren a vulnerabilidades de deserialización de datos no confiables que podrían conducir a la ejecución remota de código.
La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2025-40551 a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en la naturaleza. Se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que aplicaran las correcciones para la falla antes del 6 de febrero de 2026.
En los ataques detectados por Microsoft, la explotación exitosa de la instancia expuesta de SolarWinds WHD permitió a los atacantes lograr la ejecución remota de código no autenticado y ejecutar comandos arbitrarios dentro del contexto de la aplicación WHD.
«Tras una explotación exitosa, el servicio comprometido de una instancia WHD generó PowerShell para aprovechar BITS (Servicio de transferencia inteligente en segundo plano) para la descarga y ejecución de la carga útil», señalaron los investigadores Sagar Patil, Hardik Suri, Eric Hopper y Kajhon Soyini.
En la siguiente etapa, los actores de amenazas descargaron componentes legítimos asociados con Zoho ManageEngine, una solución legítima de administración y monitoreo remoto (RMM), para permitir un control remoto persistente sobre el sistema infectado. Los atacantes siguieron con una serie de acciones:
- Usuarios y grupos de dominio confidenciales enumerados, incluidos los administradores de dominio.
- Persistencia establecida a través de acceso SSH y RDP inverso, y los atacantes también intentaron crear una tarea programada para iniciar una máquina virtual QEMU bajo la cuenta SISTEMA al iniciar el sistema para cubrir las pistas dentro de un entorno virtualizado mientras exponen el acceso SSH a través del reenvío de puertos.
- Se utilizó la carga lateral de DLL en algunos hosts mediante el uso de «wab.exe», un ejecutable legítimo del sistema asociado con la libreta de direcciones de Windows, para iniciar una DLL fraudulenta («sspicli.dll») para volcar el contenido de la memoria LSASS y realizar robo de credenciales.
En al menos un caso, Microsoft dijo que los actores de amenazas llevaron a cabo un ataque DCSync, donde se simula un controlador de dominio (DC) para solicitar hashes de contraseñas y otra información confidencial de una base de datos de Active Directory (AD).
Para contrarrestar la amenaza, se recomienda a los usuarios que mantengan actualizadas las instancias de WHD, busquen y eliminen cualquier herramienta RMM no autorizada, roten las cuentas de servicio y administrador y aíslen las máquinas comprometidas para limitar la infracción.
«Esta actividad refleja un patrón común pero de alto impacto: una sola aplicación expuesta puede proporcionar un camino hacia el compromiso total del dominio cuando las vulnerabilidades no están parcheadas o no están suficientemente monitoreadas», dijo el fabricante de Windows.
«En esta intrusión, los atacantes se basaron en gran medida en técnicas de vida de la tierra, herramientas administrativas legítimas y mecanismos de persistencia silenciosos. Estas opciones comerciales refuerzan la importancia de una defensa en profundidad, parches oportunos de los servicios conectados a Internet y detección basada en el comportamiento en las capas de identidad, punto final y red».