Microsoft reveló que observó una intrusión de varias etapas en la que un atacante aprovechó una instancia de SolarWinds Web Help Desk (WHD) expuesta a Internet para obtener acceso inicial y moverse lateralmente a través de la red de una organización hacia otros activos de alto valor.
Dicho esto, el equipo de investigación de seguridad de Microsoft Defender se pregunta si esta actividad utilizó como arma fallas reveladas recientemente (CVE-2025-40551, puntuación CVSS: 9.8 y CVE-2025-40536, puntuación CVSS: 8.1) o vulnerabilidades parcheadas previamente (CVE-2025-26399, puntuación CVSS: 9.8). No está claro si fue un arma.
«Dado que el ataque ocurrió en diciembre de 2025 y ocurrió simultáneamente contra máquinas vulnerables a conjuntos de CVE tanto nuevos como antiguos, no podemos confirmar con certeza los CVE exactos utilizados para ganar un punto de apoyo inicial», dijo la compañía en un informe publicado la semana pasada.
CVE-2025-40536 es una vulnerabilidad de elusión del control de seguridad que permite a un atacante no autenticado acceder a determinadas funciones restringidas, mientras que CVE-2025-40551 y CVE-2025-26399 se refieren a vulnerabilidades de deserialización de datos no confiables que podrían conducir a la ejecución remota de código.
La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2025-40551 a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de que está siendo explotada en la naturaleza. Se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen una solución para esta falla antes del 6 de febrero de 2026.
El ataque detectado por Microsoft aprovechó con éxito una instancia expuesta de SolarWinds WHD, lo que permitió al atacante ejecutar código remoto no autenticado y ejecutar comandos arbitrarios dentro del contexto de la aplicación WHD.
Los investigadores Sagar Putil, Hardik Suri, Eric Hopper y Kajhon Soyini señalaron que «tras una explotación exitosa, un servicio generó un PowerShell en la instancia WHD comprometida y aprovechó BITS (Servicio de transferencia inteligente en segundo plano) para descargar y ejecutar la carga útil».
En la siguiente etapa, los atacantes descargaron un componente legítimo relacionado con Zoho ManageEngine, una solución legítima de administración y monitoreo remoto (RMM), lo que les permitió obtener control remoto persistente sobre los sistemas infectados. El atacante siguió esto con una serie de acciones:
Enumere los usuarios y grupos de dominio confidenciales, incluidos los administradores de dominio. Al establecer la persistencia a través del acceso inverso SSH y RDP, el atacante crea una tarea programada que inicia una máquina virtual QEMU bajo la cuenta SISTEMA al iniciar el sistema en un intento de ocultar sus pistas dentro del entorno virtualizado mientras expone el acceso SSH a través del reenvío de puertos. La descarga de DLL se utilizó en algunos hosts utilizando un ejecutable legítimo del sistema «wab.exe» asociado con la libreta de direcciones de Windows para iniciar una DLL maliciosa («sspicli.dll») para volcar el contenido de la memoria LSASS y realizar el robo de credenciales.
Según Microsoft, en al menos un caso, los actores de amenazas llevaron a cabo ataques DCSync. Este ataque simula un controlador de dominio (DC) y solicita hashes de contraseñas y otra información confidencial de la base de datos de Active Directory (AD).
Para combatir esta amenaza, recomendamos que los usuarios mantengan sus instancias WHD actualizadas, localicen y eliminen herramientas RMM no autorizadas, roten las cuentas de servicio y de administrador y aíslen las máquinas comprometidas para limitar el riesgo.
«Esta actividad refleja un patrón común pero de alto impacto: si las vulnerabilidades no están parcheadas o mal monitoreadas, la exposición de una sola aplicación puede potencialmente comprometer un dominio completo», dijo el fabricante de Windows.
«En esta infracción, los atacantes confiaron en gran medida en técnicas residentes, herramientas de administración legítimas y mecanismos de persistencia de bajo ruido. Estas opciones comerciales refuerzan la importancia de las defensas en capas, la aplicación oportuna de parches a los servicios conectados a Internet y la detección basada en el comportamiento en las capas de identidad, punto final y red».
Source link
