Microsoft đã tiết lộ rằng họ đã quan sát thấy một cuộc xâm nhập đa giai đoạn, trong đó các tác nhân đe dọa đã khai thác các phiên bản SolarWinds Web Help Desk (WHD) bị lộ trên internet để giành quyền truy cập ban đầu và di chuyển ngang trong mạng lưới của tổ chức đến các tài sản có giá trị cao khác.
Tuy nhiên, Nhóm nghiên cứu bảo mật Microsoft Defender cho biết vẫn chưa rõ liệu hoạt động này có sử dụng các lỗ hổng được tiết lộ gần đây (CVE-2025-40551, CVSS score: 9.8 và CVE-2025-40536, CVSS score: 8.1), hay một lỗ hổng đã được vá trước đó (CVE-2025-26399, CVSS score: 9.8) hay không.
Công ty cho biết trong một báo cáo được công bố vào tuần trước: "Vì các cuộc tấn công xảy ra vào tháng 12 năm 2025 và trên các máy dễ bị tổn thương bởi cả bộ CVE cũ và mới cùng một lúc, chúng tôi không thể xác nhận một cách đáng tin cậy CVE chính xác đã được sử dụng để giành quyền truy cập ban đầu."
Trong khi CVE-2025-40536 là một lỗ hổng security control bypass có thể cho phép kẻ tấn công không được xác thực truy cập vào một số chức năng bị hạn chế, thì CVE-2025-40551 và CVE-2025-26399 đều là các lỗ hổng untrusted data deserialization có thể dẫn đến remote code execution.
Tuần trước, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm CVE-2025-40551 vào danh mục Known Exploited Vulnerabilities (KEV) của mình, trích dẫn bằng chứng về việc khai thác tích cực trong thực tế. Các cơ quan Federal Civilian Executive Branch (FCEB) đã được lệnh áp dụng các bản sửa lỗi cho lỗ hổng này trước ngày 6 tháng 2 năm 2026.
Trong các cuộc tấn công được Microsoft phát hiện, việc khai thác thành công phiên bản SolarWinds WHD bị lộ đã cho phép những kẻ tấn công đạt được unauthenticated remote code execution và chạy các lệnh tùy ý trong ngữ cảnh ứng dụng WHD.
Các nhà nghiên cứu Sagar Patil, Hardik Suri, Eric Hopper và Kajhon Soyini lưu ý: "Sau khi khai thác thành công, dịch vụ bị xâm phạm của một phiên bản WHD đã khởi tạo PowerShell để tận dụng BITS [Background Intelligent Transfer Service] cho việc tải xuống và thực thi payload."
Trong giai đoạn tiếp theo, các tác nhân đe dọa đã tải xuống các thành phần hợp pháp liên quan đến Zoho ManageEngine, một giải pháp remote monitoring and management (RMM) hợp pháp, để thiết lập quyền kiểm soát từ xa liên tục đối với hệ thống bị nhiễm. Những kẻ tấn công đã tiếp tục với một loạt các hành động -
- Liệt kê các người dùng và nhóm domain nhạy cảm, bao gồm Domain Admins.
- Thiết lập persistence thông qua reverse SSH và truy cập RDP, đồng thời những kẻ tấn công cũng cố gắng tạo một scheduled task để khởi chạy một máy ảo QEMU dưới tài khoản SYSTEM khi hệ thống khởi động nhằm che giấu dấu vết trong môi trường ảo hóa trong khi vẫn để lộ quyền truy cập SSH thông qua port forwarding.
- Sử dụng DLL side-loading trên một số host bằng cách sử dụng "wab.exe", một tệp thực thi hệ thống hợp pháp liên quan đến Windows Address Book, để khởi chạy một DLL độc hại ("sspicli.dll") nhằm trích xuất nội dung bộ nhớ LSASS và thực hiện credential theft.
Trong ít nhất một trường hợp, Microsoft cho biết các tác nhân đe dọa đã thực hiện một cuộc tấn công DCSync, trong đó một Domain Controller (DC) được mô phỏng để yêu cầu password hashes và các thông tin nhạy cảm khác từ cơ sở dữ liệu Active Directory (AD).
Để chống lại mối đe dọa, người dùng được khuyến nghị giữ các phiên bản WHD được cập nhật, tìm và xóa mọi công cụ RMM trái phép, xoay vòng tài khoản dịch vụ và admin, đồng thời cô lập các máy bị xâm phạm để hạn chế mức độ vi phạm.
Hãng sản xuất Windows cho biết: "Hoạt động này phản ánh một mô hình phổ biến nhưng có tác động cao: một ứng dụng bị lộ có thể cung cấp con đường dẫn đến việc chiếm đoạt toàn bộ domain khi các lỗ hổng không được vá hoặc không được giám sát đầy đủ."
"Trong cuộc xâm nhập này, những kẻ tấn công đã dựa vào các kỹ thuật living-off-the-land, các công cụ quản trị hợp pháp và cơ chế persistence ít gây tiếng ồn. Những lựa chọn về phương thức hoạt động này củng cố tầm quan trọng của phòng thủ chuyên sâu, vá lỗi kịp thời các dịch vụ hướng ra internet và phát hiện dựa trên hành vi trên các lớp identity, endpoint và network."
