Microsoft tiene revelada que observó una intrusión en varias etapas en la que los actores de la amenaza explotaron las instancias de SolarWinds Web Help Desk (WHD) expuestas a Internet para obtener el acceso inicial y trasladarse lateralmente a través de la red de la organización a otros activos de alto valor.

Dicho esto, el equipo de investigación de seguridad de Microsoft Defender dijo que no está claro si la actividad se convirtió en un arma defectos revelados recientemente (CVE-2025-40551, puntuación CVSS: 9,8 y CVE-2025-40536, puntuación CVSS: 8,1), o vulnerabilidad previamente parcheada (CVE-2025-26399, puntuación CVSS: 9,8).

«Dado que los ataques se produjeron en diciembre de 2025 y en máquinas vulnerables al conjunto de CVE antiguo y nuevo al mismo tiempo, no podemos confirmar de forma fiable el CVE exacto utilizado para afianzarse inicialmente», afirma la empresa en un informe publicado la semana pasada.

adsense

Si bien la CVE-2025-40536 es una vulnerabilidad de elusión del control de seguridad que podría permitir a un atacante no autenticado acceder a determinadas funciones restringidas, la CVE-2025-40551 y la CVE-2025-26399 se refieren a vulnerabilidades de deserialización de datos no confiables que podrían provocar la ejecución remota de código.

La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) adicional CVE-2025-40551 a su catálogo de vulnerabilidades explotadas conocidas (KEV), en el que se citan pruebas de explotación activa en la naturaleza. Se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que aplicaran las soluciones para corregir la falla antes del 6 de febrero de 2026.

En los ataques detectados por Microsoft, la explotación exitosa de la instancia WHD de SolarWinds expuesta permitió a los atacantes ejecutar código de forma remota sin autenticar y ejecutar comandos arbitrarios dentro del contexto de la aplicación WHD.

«Tras una explotación exitosa, el servicio comprometido de una instancia de WHD generó PowerShell para aprovechar PEDACITOS [Servicio de transferencia inteligente en segundo plano] para la descarga y ejecución de cargas útiles», señalaron los investigadores Sagar Patil, Hardik Suri, Eric Hopper y Kajhon Soyini.

En la siguiente etapa, los atacantes descargaron componentes legítimos asociados a Zoho ManageEngine, una solución legítima de monitoreo y administración remota (RMM), para permitir el control remoto persistente del sistema infectado. Los atacantes prosiguieron con una serie de acciones:

  • Se enumeraron los usuarios y grupos de dominio sensibles, incluidos los administradores de dominio.
  • Se estableció la persistencia mediante el acceso inverso mediante SSH y RDP, y los atacantes también intentaron crear una tarea programada para lanzar una máquina virtual QEMU con la cuenta SYSTEM al iniciar el sistema a fin de ocultar las huellas en un entorno virtualizado y, al mismo tiempo, exponer el acceso SSH mediante el reenvío de puertos.
  • Se utilizó la carga lateral de DLL en algunos hosts mediante "wab.exe», un ejecutable legítimo del sistema asociado a la libreta de direcciones de Windows, para iniciar una DLL no autorizada (» sspicli.dll «) con el fin de volcar el contenido de la memoria LSASS y robar credenciales.
enlaces

En al menos un caso, Microsoft dijo que los actores de la amenaza llevaron a cabo un Ataque DCSync , donde un controlador de dominio (DC) es simulado solicitar hashes de contraseñas y otra información confidencial de una base de datos de Active Directory (AD).

Para contrarrestar la amenaza, se recomienda a los usuarios que mantengan actualizadas las instancias de WHD, busquen y eliminen cualquier herramienta de RMM no autorizada, roten las cuentas de servicio y de administración y aíslen las máquinas comprometidas para limitar la violación.

«Esta actividad refleja un patrón común pero de alto impacto: una sola aplicación expuesta puede proporcionar un camino para comprometer completamente el dominio cuando las vulnerabilidades no se corrigen o no se supervisan lo suficiente», afirma el fabricante de Windows.

«En esta intrusión, los atacantes se basaron en gran medida en técnicas de vida libre, herramientas administrativas legítimas y mecanismos de persistencia con bajo nivel de ruido. Estas elecciones artesanales refuerzan la importancia de la defensa en profundidad, la aplicación oportuna de parches a los servicios conectados a Internet y la detección basada en el comportamiento en todos los niveles de identidad, punto final y red».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.