Ataques ao SolarWinds WHD visam roubar credenciais privilegiadas, mas os autores e métodos são desconhecidos

Atores de ameaça desconhecidos exploraram instâncias vulneráveis do SolarWinds Web Help Desk (WHD) em dezembro de 2025 para obter acesso inicial. A Microsoft não conseguiu confirmar se os ataques exploraram a CVE-2025-40551 (RCE por desserialização com CVSS 9.8), a CVE-2025-40536 (auth bypass com CVSS 8.1) ou a CVE-2025-26399 (execução de comando com CVSS 9.8).

A atividade pós-exploração incluiu o abuso de BITS para entrega de payload, instalação do Zoho ManageEngine RMM para persistência, dumping de credenciais LSASS via DLL sideloading e ataques DCSync para extrair dados de senhas do domain controller. As organizações devem aplicar patches no WHD imediatamente, remover o acesso público a caminhos administrativos, procurar por ferramentas RMM não autorizadas como o ToolsIQ.exe e rotacionar as credenciais de contas de serviço e administradores acessíveis a partir do WHD.