Microsoftの研究者によると、デジタル侵入者は12月にバグのあるSolarWinds Web Help Desk(WHD)のインスタンスを悪用し、被害者のIT環境に侵入して横展開し、高権限の認証情報を盗み出したという。
しかし、ひとつの謎が残る。人気のヘルプデスク用チケットアプリにあるどの欠陥を、正体不明の悪党たちはこれらの攻撃で悪用したのか?
「攻撃が、2026年1月28日に開示されたWHDの最新の脆弱性(CVE-2025-40551やCVE-2025-40536など)に関連しているのか、あるいはCVE-2025-26399のような既に開示されている脆弱性に起因するのかは、まだ確認できていません」と、脅威ハンターは金曜日のブログで述べた。「攻撃は2025年12月に発生し、旧・新両方のCVEセットに同時に脆弱なマシン上で起きているため、初期侵入に使われた正確なCVEを信頼性高く特定することはできません。」
レドモンドのチームは、侵入の調査を継続しており、より多くのことが分かり次第、分析を更新すると述べた。研究者らは、これらの攻撃に関するThe Registerからの問い合わせ(侵害された組織のWHDインスタンス数を含む)への回答を控えた。
SolarWindsは、コメント要請に直ちには応じなかった。
CVE-2025-40551は、重大な「信頼されないデシリアライゼーション」の欠陥で、リモートコード実行につながり得る。これにより、リモートの未認証攻撃者が影響を受けるシステム上でOSコマンドを実行できる。CVSSは9.8で、ベンダーが顧客にパッチ適用を促すセキュリティ勧告を出してから約1週間後、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)はこのバグを追加して、Known Exploited Vulnerabilitiesカタログに掲載し、連邦機関に対してセキュリティホールの修正をわずか3日以内に行うよう求めた。
同時に、SolarWindsはCVE-2025-40536も修正した。これは高深刻度(CVSS 8.1)のセキュリティ制御バイパス脆弱性で、未認証の攻撃者が特定の制限された機能にアクセスできる可能性がある。こちらは、まだCISAの悪用済みバグカタログには掲載されていない。
一方、CVE-2025-26399は、重大(深刻度9.8)の欠陥で、リモートの未認証攻撃者がホストマシン上でコマンドを実行できる点でも同様だ。SolarWindsは、修正が最終的に機能するまで3回この問題のパッチ適用を試みた。「この脆弱性はCVE-2024-28988のパッチバイパスであり、さらにそれはCVE-2024-28986のパッチバイパスです」と、SolarWindsは開示の中で記している。犯罪者は、それらの以前の脆弱性の両方を悪用していた。
Microsoftは、12月の攻撃で侵入者がこれらの脆弱性のどれを使用したかをまだ特定していないが、セキュリティ調査担当者によれば、SolarWinds WHDのバグのいずれかを悪用した後、侵害されたデバイスはPowerShellを起動し、Background Intelligent Transfer Service(BITS)を悪用してペイロードのダウンロードと実行を行ったという。
BITSは、マシン間のファイル転送を管理するために使われる、Windowsオペレーティングシステムに組み込みの機能だ。いくつかの正当なMicrosoft機能と同様に、攻撃者はBITSを悪用する方法を見つけている――このケースでは、マルウェアのダウンロードと実行である。これは、防御側が「living off the land(環境寄生)」と呼ぶ手法の一例で、カスタムマルウェア(アンチウイルスに検知・ブロックされやすい)を使うのではなく、被害者のマシンに既にインストールされている正当な管理ツールを悪用して悪意ある目的を達成する。
Microsoftはまた、「複数のホスト」で、攻撃者が正当なリモート監視・管理(RMM)製品であるZoho ManageEngineをダウンロードしてインストールし、侵害されたシステムを長期的に遠隔操作できるようにしていたと指摘した。
その後、このリモート管理ツールを使って、侵入者はDomain Adminsを含む機微なドメインユーザーやグループを列挙し、永続化のためにリバースSSHおよびRDPアクセスを確立した。
研究者らは、「一部の環境では、Microsoft Defenderも、起動時にSYSTEMアカウントでQEMU仮想マシンを起動するスケジュールタスクを作成するという攻撃者の挙動を観測し、アラートを発しました。これにより、ポートフォワーディング経由でSSHアクセスを露出させつつ、仮想化環境の中に悪意ある活動を実質的に隠蔽していました」と書いている。
さらに、場合によっては、攻撃者はDLLサイドローディングを用いてWindows Local Security Authority Subsystem Service(LSASS)のメモリにアクセスし、認証情報を盗んだ。「少なくとも1件では、元のアクセスホストからDCSyncへと活動がエスカレートしており、高権限の認証情報を用いてドメインコントローラーからパスワードデータを要求したことを示しています」とブログは述べている。
まだであれば、今すぐWHDのパッチを適用し、管理用パスへの公開アクセスを削除してください。
また、セキュリティチームは、特にToolsIQ.exeなどのManageEngine RMMのアーティファクトを含む、未承認のRMMツールをスキャンして排除すべきだとMicrosoftは提案している。
認証情報をローテーションするのも良い考えだ――レドモンドは、WHDから到達可能なサービスアカウントおよび管理者アカウントから始めることを推奨している――そして、侵害が判明しているホストは隔離すること。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/09/solarwinds_mystery_whd_attack/
