Instâncias vulneráveis do Web Help Desk permitiram execução remota de código sem autenticação, implantação de ferramentas legítimas para acesso persistente e ações de reconhecimento e roubo de credenciais em Active Directory.
| Componente | Instâncias do SolarWinds Web Help Desk expostas à internet e vulneráveis a falhas de deserialização de dados não confiáveis ou bypass de controle de segurança. |
| Vetor | Exploração remota sem autenticação contra o serviço Web Help Desk exposto, seguida de execução de comandos no contexto da aplicação e uso de ferramentas administrativas legítimas. |
| Impacto | Execução remota de código, persistência por Zoho Assist, túneis Cloudflare, uso de Velociraptor para controle, reconhecimento de Active Directory, DCSync em ao menos um caso e coleta de informações de sistema para Elastic Cloud controlado pelo invasor. |
| Prioridade | Atualizar imediatamente o Web Help Desk, isolar hosts suspeitos, remover RMM não autorizado, revisar túneis e tarefas agendadas, rotacionar contas administrativas e procurar sinais de abuso em identidade, endpoint e rede. |
| Artefatos | Foram observados PowerShell, BITS, Zoho ManageEngine, Zoho Assist, Velociraptor 0.73.4, Cloudflared, QEMU, wab.exe, sspicli.dll, alterações de Registro e tarefas agendadas. |
| IoCs | Exemplos defangados citados no contexto incluem auth.qgtxtebl.workers[.]dev, v2-api.mooo[.]com, esmahyft at proton[.]me e 51.161.152[.]26. |
Ataques contra instâncias do SolarWinds Web Help Desk expostas à internet foram observados como ponto inicial de intrusão em cadeias de comprometimento de múltiplos estágios. A exploração bem-sucedida deu aos operadores execução remota de código sem autenticação no contexto da aplicação WHD, permitindo que o serviço comprometido disparasse PowerShell e usasse BITS para obter e executar componentes adicionais. A atividade ocorreu em servidores vulneráveis a mais de um conjunto de falhas ao mesmo tempo, o que impede atribuir com confiança um único identificador de CVE como vetor inicial em todos os casos descritos.
As falhas relevantes no contexto incluem CVE-2025-40551, classificada com CVSS 9.8, CVE-2025-40536, com CVSS 8.1, e a vulnerabilidade previamente corrigida CVE-2025-26399, também com CVSS 9.8. CVE-2025-40536 é descrita como bypass de controle de segurança capaz de expor funcionalidade restrita a um atacante não autenticado. CVE-2025-40551 e CVE-2025-26399 envolvem deserialização de dados não confiáveis e podem resultar em execução remota de código. A inclusão de CVE-2025-40551 no catálogo KEV da CISA, com prazo de correção para agências federais civis dos Estados Unidos até 6 de fevereiro de 2026, reforça que ao menos essa falha já tinha evidência de exploração ativa.
O padrão operacional observado mostra uma cadeia que não depende apenas de malware customizado. Após obter o ponto de apoio no Web Help Desk, os invasores recorreram a ferramentas legítimas de administração remota, túneis, componentes de DFIR e serviços de nuvem para persistência, comando e controle, coleta de dados e redundância de acesso. Essa combinação reduz ruído em ambientes onde o uso de RMM, PowerShell, agentes de suporte remoto e serviços SaaS não é rigidamente governado.
A etapa inicial começa com a aplicação WHD acessível pela internet em estado vulnerável. Depois da exploração, o processo associado ao serviço passa a iniciar PowerShell e a acionar BITS para transferir e executar cargas de estágio seguinte. O detalhe importante para defesa é a relação de processo: um serviço de help desk voltado para atendimento interno ou suporte passa a originar execução de scripts, download de binários e chamadas de rede que não pertencem ao comportamento esperado de uma aplicação desse tipo.
Em seguida, os operadores baixaram componentes legítimos associados ao Zoho ManageEngine e configuraram acesso remoto persistente. Em um caso, foi observada instalação de um MSI remoto ligado ao RMM, configuração do Zoho Assist para acesso sem supervisão e registro do host comprometido em uma conta vinculada a endereço Proton Mail defangado. Esse padrão transforma o servidor inicial em ponto de administração remota controlado pelo atacante, com aparência semelhante a uma ferramenta corporativa permitida.
A cadeia de pós-exploração incluiu reconhecimento de Active Directory, enumeração de usuários e grupos sensíveis, inclusive Domain Admins, e comandos de descoberta para mapear máquinas ingressadas no domínio. Em ao menos um caso, os operadores executaram DCSync, técnica que simula um controlador de domínio para solicitar hashes de senha e outros dados sensíveis da base do Active Directory. Quando presente, esse estágio muda o incidente de comprometimento de servidor para risco de domínio, exigindo resposta centrada em identidade e não apenas limpeza do endpoint inicial.
Também foram descritos mecanismos de persistência e evasão com reverse SSH, RDP, tarefas agendadas e QEMU. A tentativa de iniciar uma máquina virtual QEMU sob a conta SYSTEM na inicialização sugere uma forma de manter acesso e encapsular atividades em ambiente virtualizado, além de expor SSH por encaminhamento de porta. Em alguns hosts, a cadeia usou DLL side-loading com wab.exe, executável legítimo do Windows Address Book, para carregar sspicli.dll maliciosa e acessar conteúdo de memória do LSASS, com objetivo de roubo de credenciais.
Em incidente posterior investigado em 7 de fevereiro de 2026, foram observados Zoho Meetings, túneis Cloudflare, Velociraptor e Elastic Cloud. O Velociraptor 0.73.4 foi implantado em versão desatualizada associada a CVE-2025-6264, e o agente foi usado para executar PowerShell e verificar a presença de code.exe, possivelmente com intenção de estabelecer túnel remoto pelo Visual Studio Code. Um script também coletou informações abrangentes do sistema e enviou os dados para uma instância Elastic Cloud criada e controlada pelo invasor.
A exposição principal está em servidores SolarWinds Web Help Desk acessíveis pela internet e não corrigidos contra as falhas citadas. O risco aumenta quando esse servidor tem alcance interno para controladores de domínio, estáções administrativas, servidores de arquivos ou ativos de alto valor. A aplicação, quando comprometida, deixa de ser apenas uma interface de suporte e passa a funcionar como origem confiável dentro da rede, com permissão para iniciar processos, estabelecer conexões de saída e interagir com recursos internos.
Ambientes com RMM amplamente permitido, políticas fracas para criação de tarefas agendadas, permissões excessivas em contas de serviço e baixa inspeção de tráfego de saída ficam mais expostos ao estágio posterior. A presença de ferramentas legítimas como Zoho Assist, Cloudflared, Velociraptor, QEMU e Elastic Cloud dificulta uma abordagem baseada apenas em bloqueio por reputação, porque muitos desses componentes podem existir em operações defensivas ou administrativas legítimas. A distinção precisa vir do contexto: quem instalou, quando foi instalado, qual conta executou, qual servidor originou a ação e qual destino recebeu a comunicação.
- Servidores SolarWinds Web Help Desk expostos à internet e sem correções aplicadas para
CVE-2025-40551,CVE-2025-40536ouCVE-2025-26399. - Hosts onde o processo do WHD iniciou
PowerShell,BITS, instaladores MSI, agentes RMM ou túneis de rede sem mudança administrativa planejada. - Domínios em que contas privilegiadas, controladores de domínio ou credenciais em LSASS ficaram acessíveis a partir do servidor comprometido.
- Ambientes com uso permitido de RMM e ferramentas de DFIR sem inventário centralizado, aprovação explícita e alerta para instalação fora de janela.
A investigação deve começar pela linha do tempo do servidor WHD. Procure execução de PowerShell, BITS, instaladores MSI, alterações de Registro e criação de tarefas agendadas com processo pai ligado ao serviço do Web Help Desk. O valor defensivo está em correlacionar processo, usuário, caminho do binário, destino de rede e horário. Uma execução isolada de PowerShell pode ser comum em administração Windows, mas PowerShell originado por uma aplicação de help desk exposta, seguido por download e instalação de RMM, é um sinal de alta prioridade.
Em endpoint, procure agentes Zoho instalados sem solicitação formal, presença de Velociraptor em versão 0.73.4 fora de inventário, execução de Cloudflared, uso incomum de QEMU sob SYSTEM e carregamento suspeito de sspicli.dll por wab.exe. Em identidade, revise eventos compatíveis com DCSync, enumeração de grupos privilegiados e consultas de reconhecimento de máquinas do domínio. Em rede, priorize conexões persistentes para túneis Cloudflare, destinos Elastic Cloud incomuns e comunicação com domínios defangados como auth.qgtxtebl.workers[.]dev e v2-api.mooo[.]com, quando aplicável ao ambiente.
O uso de Elastic Cloud pelo operador para armazenar informações de sistema altera a telemetria esperada. Em vez de procurar somente C2 clássico, a defesa deve analisar conexões SaaS legítimas usadas fora do padrão, especialmente de servidores que não deveriam enviar dados para instâncias Elastic externas. A existência de aproximadamente 216 hosts únicos em uma instância controlada pelo atacante, cobrindo setores como governo, educação, serviços financeiros, organizações religiosas e sem fins lucrativos, manufatura, automotivo, provedores de TI, varejo e construção, indica atividade oportunista em superfície exposta, não uma exploração restrita a um único tipo de organização.
- Processo do WHD criando
PowerShell, acionandoBITSou iniciando instaladores e agentes remotos. - Instalação ou execução não autorizada de Zoho Assist, Zoho Meetings, Zoho ManageEngine RMM, Velociraptor, Cloudflared e QEMU.
wab.execarregandosspicli.dllou qualquer DLL fora do caminho esperado, especialmente com acesso à memória do LSASS.- Eventos de diretório compatíveis com DCSync, enumeração de Domain Admins e descoberta de computadores ingressados no domínio.
- Conexões de saída para Cloudflare Workers, túneis, Elastic Cloud externo e domínios defangados associados à campanha.
A primeira ação é remover a condição de exploração: atualizar o SolarWinds Web Help Desk para versões corrigidas e validar que nenhuma instância vulnerável continua acessível pela internet. Como o contexto não permite confirmar um CVE único usado no ponto inicial, a resposta não deve depender de uma assinatura específica. A organização precisa considerar vulneráveis os servidores WHD que estavam expostos e sem correções para o conjunto citado durante o período de atividade, especialmente dezembro de 2025 e fevereiro de 2026.
Em hosts suspeitos, isole a máquina antes de remover artefatos para preservar evidências úteis. Revise agentes RMM, túneis, tarefas agendadas, alterações de Registro que desativem Windows Defender ou Windows Firewall, serviços recém-criados e binários de suporte remoto. Remova ferramentas não autorizadas, mas trate ferramentas legítimas como evidência de persistência quando não houver trilha administrativa. A limpeza do servidor inicial não basta se houve DCSync, roubo de credenciais ou acesso a LSASS; nesses casos, a resposta precisa incluir rotação de contas privilegiadas, revisão de contas de serviço e invalidação de credenciais potencialmente expostas.
A contenção deve reduzir caminhos de saída e movimentos internos. Limite o acesso do WHD a recursos estritamente necessários, impeça que servidores de aplicação iniciem sessões administrativas para controladores de domínio sem justificativa, monitore instalação de RMM e exija aprovação para túneis persistentes. Em paralelo, revise logs de identidade, endpoint e rede para determinar se houve reconhecimento, criação de persistência, exfiltração de informações de sistema ou acesso a ativos de alto valor. A validação final deve confirmar que não há tarefas agendadas residuais, agentes remotos não inventariados, túneis ativos, contas adicionadas ou conexões recorrentes para infraestrutura defangada observada.
- Aplicar correções do SolarWinds Web Help Desk e retirar da internet qualquer instância que não precise estar publicamente acessível.
- Isolar servidores WHD com sinais de exploração e preservar evidências de processos, tarefas, serviços, Registro, logs de aplicação e conexões de saída.
- Remover RMM, túneis e ferramentas DFIR não autorizadas, incluindo Zoho Assist, Cloudflared e Velociraptor quando não fizerem parte do inventário aprovado.
- Rotacionar contas administrativas e de serviço quando houver indício de LSASS, DCSync, enumeração privilegiada ou acesso interativo pelo atacante.
- Criar detecções comportamentais para aplicação de help desk iniciando scripts, baixando binários, instalando agentes remotos ou comunicando-se com SaaS externo incomum.
0 Comentários