
A Microsoft alertou que ataques direcionados a instâncias do SolarWinds Web Help Desk (WHD) expostas à internet podem ter explorado vulnerabilidades recém-corrigidas como zero-days, permitindo o acesso inicial dos invasores aos ambientes afetados.
De acordo com a empresa, os ataques fizeram parte de uma intrusão em múltiplas etapas observada em dezembro de 2025, na qual agentes maliciosos comprometeram implantações vulneráveis do WHD para executar comandos PowerShell, baixar e executar cargas adicionais no ambiente.
Apesar da investigação, a Microsoft afirma que não foi possível confirmar com precisão quais vulnerabilidades foram exploradas, já que os sistemas comprometidos estavam vulneráveis tanto a falhas antigas quanto a falhas mais recentes do SolarWinds conhecidas por serem exploradas ativamente.
Vulnerabilidades envolvidas
Segundo a análise, o produto comprometido apresentava falhas associadas aos seguintes CVEs:
- • CVE-2025-40551 e CVE-2025-40536, corrigidos em janeiro de 2026;
- • CVE-2025-26399, corrigido em setembro de 2025.
A vulnerabilidade CVE-2025-26399 é descrita como uma falha de execução remota de código (RCE) não autenticada via deserialização no componente AjaxProxy. Essa falha foi divulgada como um bypass de correções anteriores, relacionadas aos CVEs CVE-2024-28988 e CVE-2024-28986.
Já a CVE-2025-40551 tem a mesma raiz no componente AjaxProxy e também permite RCE não autenticada por deserialização de dados não confiáveis. Essa vulnerabilidade foi adicionada recentemente ao catálogo de vulnerabilidades exploradas ativamente (KEV) da CISA, reforçando seu nível de criticidade.
A CVE-2025-40536, por sua vez, consiste em um bypass de controles de segurança, que pode permitir a criação de instâncias válidas do AjaxProxy, viabilizando a exploração da CVE-2025-40551 para execução remota de código.
“Como os ataques ocorreram em dezembro de 2025 e os sistemas estavam vulneráveis tanto aos CVEs antigos quanto aos novos simultaneamente, não é possível confirmar de forma confiável qual vulnerabilidade foi usada para obter o acesso inicial”, destacou a Microsoft.
Técnicas de persistência e movimentação lateral
Após o comprometimento inicial, os atacantes foram observados obtendo persistência no ambiente por meio da implantação da ferramenta legítima de monitoramento e gerenciamento remoto (RMM) ManageEngine, além do estabelecimento de acessos reversos via SSH e RDP.
Também foi identificado o uso de uma tarefa agendada para iniciar uma máquina virtual QEMU com privilégios de sistema, explorando o ambiente virtualizado como técnica de evasão e para acesso SSH via encaminhamento de portas.
Em alguns casos, os invasores utilizaram DLL sideloading para acessar a memória do LSASS, com o objetivo de roubar credenciais. Credenciais de alto privilégio também foram empregadas em ataques do tipo DCSync, permitindo a solicitação de dados de senhas diretamente a controladores de domínio.
Recomendações de mitigação
A Microsoft recomenda que as organizações:
- • Atualizem imediatamente as instâncias do SolarWinds Web Help Desk;
- • Identifiquem e removam aplicações RMM não autorizadas;
- • Realizem a rotação de credenciais potencialmente comprometidas;
- • Isolem hosts afetados para conter a propagação do ataque.
Segundo a empresa, o incidente reforça um padrão recorrente e de alto impacto:
“Uma única aplicação exposta pode abrir caminho para o comprometimento completo do domínio quando vulnerabilidades não são corrigidas ou monitoradas adequadamente. Nesta intrusão, os atacantes recorreram fortemente a técnicas de living off the land, ferramentas administrativas legítimas e mecanismos de persistência de baixo ruído”, conclui a Microsoft.
Para saber mais, clique aqui.