SolarWinds Web Help Desk遭利用：攻击者实施远程代码执行多阶段入侵

微软披露，研究人员观察到一起多阶段网络入侵事件，威胁行为者利用暴露在互联网上的SolarWinds Web Help Desk（WHD）实例获得初始访问权限，并在组织网络中横向移动，渗透到其他高价值资产。

微软Defender安全研究团队表示，目前尚不清楚攻击活动是否利用了最近披露的漏洞（CVE-2025-40551，CVSS评分：9.8分，以及CVE-2025-40536，CVSS评分：8.1分），还是此前已修补的漏洞（CVE-2025-26399，CVSS评分：9.8分）。

微软在上周发布的报告中指出："由于攻击发生在2025年12月，且受影响机器同时存在新旧两组CVE漏洞，我们无法可靠确认攻击者获得初始立足点时具体利用了哪个CVE。"

CVE-2025-40536是一个安全控制绕过漏洞，可能允许未经身份验证的攻击者访问某些受限功能。而CVE-2025-40551和CVE-2025-26399都涉及不受信任数据反序列化漏洞，可能导致远程代码执行。

上周，美国网络安全和基础设施安全局（CISA）将CVE-2025-40551添加到其已知被利用漏洞（KEV）目录中，并引用了在野外主动利用的证据。联邦民用行政部门机构被要求在2026年2月6日前应用该漏洞的修复程序。

攻击过程和技术手段

在微软检测到的攻击中，成功利用暴露的SolarWinds WHD实例使攻击者能够实现未经身份验证的远程代码执行，并在WHD应用程序上下文中运行任意命令。

研究人员Sagar Patil、Hardik Suri、Eric Hopper和Kajhon Soyini指出："成功利用漏洞后，受损WHD实例的服务生成PowerShell，利用BITS（后台智能传输服务）进行有效载荷下载和执行。"

在下一阶段，威胁行为者下载了与Zoho ManageEngine相关的合法组件。ManageEngine是一个合法的远程监控和管理（RMM）解决方案，攻击者利用它对受感染系统建立持久的远程控制。随后，攻击者执行了一系列行动：

枚举敏感域用户和组，包括域管理员。

通过反向SSH和RDP访问建立持久性。攻击者还尝试创建计划任务，在系统启动时以SYSTEM账户身份启动QEMU虚拟机，以在虚拟化环境中掩盖踪迹，同时通过端口转发暴露SSH访问。

在某些主机上使用DLL侧加载技术，利用"wab.exe"（与Windows通讯簿相关的合法系统可执行文件）启动恶意DLL（"sspicli.dll"），转储LSASS内存内容并进行凭据窃取。

至少在一个案例中，微软表示威胁行为者实施了DCSync攻击，模拟域控制器（DC）从Active Directory（AD）数据库请求密码哈希和其他敏感信息。

防护建议和影响分析

为应对威胁，建议用户保持WHD实例更新，查找并移除任何未经授权的RMM工具，轮换服务和管理员账户，并隔离受损机器以限制攻击范围。

微软表示："这一活动反映了一种常见但高影响的模式：当漏洞未修补或监控不足时，单个暴露的应用程序就能为完全的域妥协提供路径。"

"在这次入侵中，攻击者大量依赖于环境驻留技术、合法管理工具和低噪音持久性机制。这些攻击手法选择强化了深度防御的重要性，包括及时修补面向互联网的服务，以及在身份、端点和网络层面进行基于行为的检测。"

Q&A

Q1：SolarWinds Web Help Desk被攻击利用了哪些漏洞？

A：攻击者可能利用了最近披露的CVE-2025-40551（CVSS评分9.8）、CVE-2025-40536（CVSS评分8.1）或此前的CVE-2025-26399（CVSS评分9.8）。由于攻击时间和系统漏洞重叠，微软无法确定具体利用了哪个漏洞。

Q2：攻击者通过SolarWinds Web Help Desk获得访问权限后做了什么？

A：攻击者实现远程代码执行后，下载了Zoho ManageEngine组件建立持久控制，枚举域用户和组，通过反向SSH和RDP建立持久性访问，使用DLL侧加载技术窃取凭据，并实施DCSync攻击获取Active Directory敏感信息。

Q3：如何防护SolarWinds Web Help Desk攻击？

A：建议保持WHD实例及时更新，查找移除未授权的远程管理工具，定期轮换服务和管理员账户，隔离受损机器，实施深度防御策略，及时修补面向互联网的服务，并在身份、端点和网络层面部署基于行为的检测。