共计 1009 个字符,预计需要花费 3 分钟才能阅读完成。
近日,SafeBreach 研究员 Or Yair 和 Shahak Morag 在 DEF CON 33 安全会议上揭示了一种新型攻击技术——Win-DDoS。这种技术能够操控全球数千台公共域控制器(DCs),创建恶意僵尸网络,并利用其进行强大的分布式拒绝服务(DDoS)攻击。
Win-DDoS 的核心在于利用 Windows LDAP 客户端代码的重大漏洞,通过操纵 URL 引用过程,将 DCs 指向受害者服务器,使其不堪重负。这种攻击无需代码执行或凭据,使 Windows 平台同时成为受害者和武器。
攻击流程包括:攻击者向 DCs 发送 RPC 调用,触发其成为 CLDAP 客户端;DCs 向攻击者的 CLDAP 服务器发送 CLDAP 请求,服务器返回引用响应,将 DCs 指向攻击者的 LDAP 服务器;DCs 通过 TCP 向攻击者的 LDAP 服务器发送 LDAP 查询;攻击者的 LDAP 服务器返回包含一长串 LDAP 引用 URL 的响应,所有这些 URL 都指向单个 IP 地址的单个端口;DCs 在该端口上发送 LDAP 查询,导致可能通过该端口提供服务的 Web 服务器关闭 TCP 连接。
Win-DDoS 的重要性在于其高带宽和隐蔽性。它不需要攻击者购买专用基础设施,也不需要入侵任何设备,从而使其能够隐蔽行动。此外,通过利用引用列表大小没有限制以及引用在信息成功检索之前不会从 DC 的堆内存中释放的事实,攻击者可以向 DCs 发送长引用列表,从而触发 LSASS 崩溃、重启或蓝屏死机(BSoD)。
SafeBreach 还发现了一种称为 TorpeDoS 的拒绝服务(DoS)技术,它可以从单台计算机上产生 DDoS 的影响。此外,执行服务器客户端请求的传输无关代码被发现存在三个新的拒绝服务(DoS)漏洞,这些漏洞可以在无需身份验证的情况下使域控制器崩溃,以及一个额外的 DoS 漏洞,该漏洞允许任何经过身份验证的用户在域中使域控制器或 Windows 计算机崩溃。
已识别的缺陷包括:CVE-2025-26673、CVE-2025-32724、CVE-2025-49716 和 CVE-2025-49722。这些漏洞的发现表明 Windows 中存在可能被攻击和利用的盲点,从而严重破坏业务运营。
研究人员表示:“我们发现的漏洞是零点击、未经身份验证的漏洞,允许攻击者在系统公开访问的情况下远程使这些系统崩溃,还展示了攻击者如何通过最小限度的内部网络访问触发相同的结果,从而针对私有基础设施。”这对企业弹性、风险建模和防御策略的影响是重大的。
