【安全资讯】SolarWinds Web Help Desk遭未知攻击者利用，高权限凭证被窃

概要：

近期，网络安全领域再次敲响警钟。微软威胁情报团队披露，在2025年12月，未知攻击者利用SolarWinds Web Help Desk（WHD）软件中的漏洞，成功入侵了多个组织的IT环境。此次攻击不仅涉及横向移动，还窃取了高权限的域管理员凭证，对依赖该帮助台系统的企业和政府机构构成了严重威胁。事件凸显了关键软件供应链安全及漏洞及时修补的极端重要性。

主要内容：

攻击者利用SolarWinds WHD中一个或多个未修补或已披露的严重漏洞作为初始入侵点。微软研究人员指出，具体利用的漏洞尚无法完全确认，可能涉及CVE-2025-40551、CVE-2025-40536或CVE-2025-26399。其中，CVE-2025-40551是一个CVSS评分高达9.8的远程代码执行漏洞，允许未经身份验证的攻击者在受影响系统上执行操作系统命令。

入侵成功后，攻击者采用了“无文件”或“离地攻击”技术以规避检测。他们利用Windows系统内置的Background Intelligent Transfer Service（BITS）服务来下载和执行恶意载荷。此外，攻击者在多台主机上安装并使用了合法的远程监控与管理工具Zoho ManageEngine，以此建立长期、隐蔽的远程控制通道。

借助这些工具，攻击者进一步枚举了敏感的域用户和组（如Domain Admins），并建立了反向SSH和RDP连接以实现持久化访问。在某些案例中，攻击者甚至通过创建计划任务，在QEMU虚拟机中隐藏恶意活动，并通过DLL侧加载技术窃取LSASS进程内存中的凭证，最终升级至DCSync攻击，从域控制器获取密码数据。

此次攻击的影响范围可能相当广泛，尽管具体受害组织数量未公开。微软建议所有用户立即应用SolarWinds WHD的最新安全补丁，限制管理路径的公开访问，扫描并清除未经授权的RMM工具，轮换相关服务和管理员账户的凭证，并隔离已知受感染的主机。