От «как вам помочь?» до «отдайте контроллер домена». История компрометации через Help Desk
NewsMakerТакой наглости от злоумышленников не ожидали даже опытные аналитики.
Команда Microsoft Defender зафиксировала серию фактических атак на системы SolarWinds Web Help Desk, доступные из интернета. Злоумышленники использовали уязвимые серверы службы поддержки как начальную точку входа, после чего углубляли проникновение внутри инфраструктуры и пытались получить контроль над ключевыми узлами домена.
По данным аналитиков Microsoft, атаки носили многоэтапный характер. Пока точно не установлено, какие именно уязвимости были задействованы. Речь идёт как о недочётах, раскрытых в январе 2026 года под идентификаторами CVE-2025-40551 и CVE-2025-40536 , так и о более ранней проблеме CVE-2025-26399 . Инциденты произошли в декабре 2025 года, когда на скомпрометированных узлах находилось несколько неустраненных уязвимостей, что не позволяет однозначно определить исходный вектор.
Успешная эксплуатация давала возможность удалённого запуска кода без авторизации в контексте приложения Web Help Desk. После закрепления на сервере атакующие запускали PowerShell и применяли штатные механизмы загрузки для получения дополнительных модулей. В ряде случаев устанавливались компоненты Zoho ManageEngine, легитимной системы удалённого администрирования, через которую обеспечивалось интерактивное управление захваченным хостом.
Далее проводилась разведка доменной среды с перечислением учётных записей и привилегированных групп. Для закрепления доступа использовались обратные SSH-подключения и сеансы удалённого рабочего стола. На части устройств обнаружено создание задания планировщика, которое запускало виртуальную машину QEMU от имени SYSTEM при старте системы. Такая схема позволяла скрывать вредоносную активность внутри виртуальной среды и пробрасывать внешний доступ по сети.
Также отмечено внедрение вредоносных библиотек через подмену DLL при помощи штатного процесса wab.exe. Этот приём применялся для обращения к памяти LSASS и кражи учётных данных, обходя детектирование инструментов прямого дампа. Как минимум в одном случае развитие атаки дошло до злоупотребления механизмом репликации каталога и получения хешей паролей контроллера домена.
Microsoft рекомендует срочно установить обновления безопасности для SolarWinds Web Help Desk, убрать публичный доступ к административным интерфейсам, усилить журналирование и проверить системы на наличие посторонних средств удалённого управления. Дополнительно советуют сменить учётные данные сервисных и административных учётных записей и изолировать затронутые узлы. Средства Microsoft Defender XDR уже содержат набор правил обнаружения для выявления подобных цепочек действий.
Команда Microsoft Defender зафиксировала серию фактических атак на системы SolarWinds Web Help Desk, доступные из интернета. Злоумышленники использовали уязвимые серверы службы поддержки как начальную точку входа, после чего углубляли проникновение внутри инфраструктуры и пытались получить контроль над ключевыми узлами домена.
По данным аналитиков Microsoft, атаки носили многоэтапный характер. Пока точно не установлено, какие именно уязвимости были задействованы. Речь идёт как о недочётах, раскрытых в январе 2026 года под идентификаторами CVE-2025-40551 и CVE-2025-40536 , так и о более ранней проблеме CVE-2025-26399 . Инциденты произошли в декабре 2025 года, когда на скомпрометированных узлах находилось несколько неустраненных уязвимостей, что не позволяет однозначно определить исходный вектор.
Успешная эксплуатация давала возможность удалённого запуска кода без авторизации в контексте приложения Web Help Desk. После закрепления на сервере атакующие запускали PowerShell и применяли штатные механизмы загрузки для получения дополнительных модулей. В ряде случаев устанавливались компоненты Zoho ManageEngine, легитимной системы удалённого администрирования, через которую обеспечивалось интерактивное управление захваченным хостом.
Далее проводилась разведка доменной среды с перечислением учётных записей и привилегированных групп. Для закрепления доступа использовались обратные SSH-подключения и сеансы удалённого рабочего стола. На части устройств обнаружено создание задания планировщика, которое запускало виртуальную машину QEMU от имени SYSTEM при старте системы. Такая схема позволяла скрывать вредоносную активность внутри виртуальной среды и пробрасывать внешний доступ по сети.
Также отмечено внедрение вредоносных библиотек через подмену DLL при помощи штатного процесса wab.exe. Этот приём применялся для обращения к памяти LSASS и кражи учётных данных, обходя детектирование инструментов прямого дампа. Как минимум в одном случае развитие атаки дошло до злоупотребления механизмом репликации каталога и получения хешей паролей контроллера домена.
Microsoft рекомендует срочно установить обновления безопасности для SolarWinds Web Help Desk, убрать публичный доступ к административным интерфейсам, усилить журналирование и проверить системы на наличие посторонних средств удалённого управления. Дополнительно советуют сменить учётные данные сервисных и административных учётных записей и изолировать затронутые узлы. Средства Microsoft Defender XDR уже содержат набор правил обнаружения для выявления подобных цепочек действий.