Falhas recentes da SolarWinds podem ter sido exploradas como zero day

Ataques dirigidos a instâncias do SolarWinds Web Help Desk (WHD) expostas à Internet exploraram vulnerabilidades entretanto corrigidas como zero days, segundo uma análise divulgada pela Microsoft. As intrusões ocorreram em dezembro de 2025 e serviram como ponto de acesso inicial a redes comprometidas.

De acordo com a Microsoft, os atacantes exploraram implementações vulneráveis do WHD para executar PowerShell e descarregar payloads adicionais, no âmbito de uma intrusão em várias fases. No entanto, não foi possível determinar com total certeza se foram utilizadas falhas então desconhecidas ou vulnerabilidades mais antigas que já estavam identificadas.

Os sistemas comprometidos encontravam-se vulneráveis a várias falhas, incluindo as CVE-2025-40551 e CVE-2025-40536, ambas corrigidas apenas em janeiro de 2026, bem como à CVE-2025-26399, resolvida em setembro de 2025. Esta última é uma vulnerabilidade de execução remota de código não autenticada, relacionada com a funcionalidade AjaxProxy, e foi inicialmente divulgada como um bypass de correções anteriores.

A funcionalidade AjaxProxy está igualmente na origem da CVE-2025-40551, classificada como uma falha de desserialização de dados não confiáveis que permite RCE sem autenticação, recentemente adicionada à lista de vulnerabilidades exploradas ativamente da CISA. Já a CVE-2025-40536 permite contornar controlos de segurança e criar instâncias válidas de AjaxProxy, facilitando a exploração da CVE-2025-40551.

“Uma vez que os ataques ocorreram em dezembro de 2025, em sistemas vulneráveis simultaneamente a CVE antigas e recentes, não é possível confirmar de forma fiável qual foi a vulnerabilidade explorada para obter o acesso inicial”, refere a Microsoft.

Após o comprometimento inicial, os atacantes estabeleceram persistência através da instalação da ferramenta legítima de gestão remota ManageEngine, bem como de acessos remotos via SSH reverso e RDP. Foram ainda observadas técnicas avançadas de evasão, incluindo a criação de tarefas agendadas para iniciar máquinas virtuais QEMU com privilégios de sistema, utilização de DLL sideloading para aceder à memória do LSASS e ataques DCSync para extração de credenciais a partir de controladores de domínio.

A Microsoft recomenda que as organizações apliquem de imediato todas as correções disponíveis para o SolarWinds Web Help Desk, removam ferramentas de gestão remota não autorizadas, façam rotação de credenciais e isolem sistemas potencialmente comprometidos.

Segundo a empresa, este caso ilustra “um padrão comum, mas de elevado impacto”, em que uma única aplicação exposta pode abrir caminho a um comprometimento total do domínio quando as vulnerabilidades não são corrigidas ou devidamente monitorizadas.