Quisieron ayudar y terminaron abriendo la brecha: cómo Web Help Desk se convirtió en una «puerta trasera» para los ciberdelincuentes
Ni siquiera los analistas más experimentados esperaban tanta desfachatez por parte de los atacantes.
El equipo de Microsoft Defender registró una serie de ataques reales contra sistemas SolarWinds Web Help Desk accesibles desde internet. Los atacantes aprovecharon servidores vulnerables del servicio de asistencia como punto de entrada inicial; a partir de ahí expandieron la intrusión dentro de la infraestructura e intentaron obtener control sobre nodos clave del dominio.
Según los analistas de Microsoft, los ataques fueron de carácter multifase. Aún no hay confirmación exacta sobre qué vulnerabilidades se usaron. Se trata tanto de defectos divulgados en enero de 2026 bajo los identificadores CVE-2025-40551 y CVE-2025-40536, como de un problema anterior CVE-2025-26399. Los incidentes ocurrieron en diciembre de 2025, cuando en los nodos comprometidos coexistían varias fallas sin corregir, lo que impide determinar de forma inequívoca el vector inicial.
La explotación exitosa permitía la ejecución remota de código sin autorización en el contexto de la aplicación Web Help Desk. Tras afianzarse en el servidor, los atacantes ejecutaban PowerShell y utilizaban los mecanismos de carga estándar para obtener módulos adicionales. En varios casos se instalaron componentes de Zoho ManageEngine, un sistema legítimo de administración remota, a través del cual se proporcionaba control interactivo sobre el host comprometido.
A continuación se realizaba reconocimiento del entorno de dominio con el listado de cuentas y de grupos privilegiados. Para afianzar el acceso se usaron conexiones SSH inversas y sesiones de escritorio remoto. En algunos dispositivos se detectó la creación de una tarea del programador que arrancaba la máquina virtual QEMU bajo la cuenta SYSTEM al inicio del sistema. Ese esquema permitía ocultar la actividad maliciosa dentro del entorno virtual y reenviar el acceso externo a través de la red.
También se observó la inyección de bibliotecas maliciosas mediante la sustitución de DLL a través del proceso legítimo wab.exe. Esta técnica se empleó para acceder a la memoria de LSASS y robar credenciales, eludiendo la detección por herramientas de volcado directo. Al menos en un caso la evolución del ataque llegó al abuso del mecanismo de replicación de directorio y a la obtención de los hashes de las contraseñas del controlador de dominio.
Microsoft recomienda instalar de forma urgente las actualizaciones de seguridad para SolarWinds Web Help Desk, eliminar el acceso público a las interfaces administrativas, reforzar el registro de eventos y comprobar los sistemas en busca de herramientas no autorizadas de administración remota. Además, aconseja cambiar las credenciales de las cuentas de servicio y administrativas y aislar los nodos afectados. Las herramientas de Microsoft Defender XDR ya incluyen un conjunto de reglas de detección para identificar cadenas de acciones similares.