Новейшая техника атаки, получившая кодовое имя Win-DDoS, была раскрыта исследователями Or Yair и Shahak Morag из
Новая угроза локальным системам
Исследователи обнаружили брешь в клиентской системе LDAP в Windows, позволяющую злоумышленнику манипулировать URL-адресами перенаправления, чтобы указывать контроллеры домена на сервер-жертву. Это вызывает повторные LDAP-запросы, перегружающие цель. Злоумышленник отправляет RPC-вызов на контроллеры домена, запускающий поведение клиента CLDAP. Контроллеры отправляют CLDAP-запросы на сервер злоумышленника, который возвращает перенаправление на LDAP-сервер злоумышленника, переключая соединение с UDP на TCP. Затем контроллеры отправляют LDAP-запросы на LDAP-сервер злоумышленника по TCP.
LDAP-сервер злоумышленника отвечает длинным списком перенаправлений URL-адресов LDAP, указывающих на один IP:порт. Контроллеры домена запрашивают этот порт, и при закрытии TCP-соединения они переходят к следующему перенаправлению, повторяя процесс до истощения списка.
Финансовые и системные угрозы
Win-DDoS позволяет достигать высокой пропускной способности без покупки инфраструктуры или взлома устройств. Большие списки перенаправлений также могут истощать память контроллеров домена, вызывая сбои в работе, принудительные перезагрузки или синие экраны смерти. Это обусловлено тем, что перенаправления не ограничены и не удаляются из памяти до получения, что позволяет злоумышленникам заставлять контроллеры отправлять LDAP-пакеты на произвольные IP-адреса и порты.
- CVSS 7.5 - неконтролируемое потребление ресурсов в LDAP (исправлено в мае 2025 года)
- CVSS 7.5 - в LSASS (исправлено в июне 2025 года)
- CVSS 7.5 - в Netlogon (исправлено в июле 2025 года)
- CVSS 5.7 - в компонентах Print Spooler (исправлено в июле 2025 года)
Исследователи предупредили, что такие уязвимости с нулевым взаимодействием и без аутентификации уничтожают привычные предположения о случаях отказа в обслуживании и безопасности внутренних систем в корпоративной среде.
