Безопасные лаборатории SafeBreach обнаружили метод, позволяющий превратить тысячи
Самодействующий механизм атаки
Эксплуатация осуществляется без участия пользователя, используя уязвимости
- CVE-2025-32724: Влияет на клиент LDAP в LSASS, вызывая отказ в обслуживании. Исправление выпущено в июне 2025 года.
- CVE-2025-26673: Затрагивает NetLogon (RPC), приводя к аварийному завершению работы TorpeDoS. В мае 2025 года выпущено исправление.
- CVE-2025-49716: Без использования статуса RPC может вызвать DDoS. Исправлено в июле 2025 года.
- CVE-2025-49722: Доступ к серверу печати через RPC, требуется аутентификация. Исправление также в июле 2025 года.
SafeBreach привлекла внимание к двум вредоносным техникам: Win-DDoS, который использует LDAP-рефералы для создания ботнете, и TorpeDoS, использующий раздвоение соединений RPC для создания множества подключений.
Ущерб глобальной инфраструктуре
Контроллеры домена являются критически важными элементами корпоративной идентификации. Их отключение может парализовать процессы аутентификации и нарушить бизнес-процессы. Даже внутренняя сеть уязвима для манипуляций.
Ошибки показывают изъяны в архитектуре: LDAP не ограничивает длину списка рефералов и хранит записи в памяти до завершения. Множество интерфейсов RPC предоставляет почти неограниченные аллокации данных.
Исправления и рекомендации
SafeBreach сообщила Microsoft о неисправностях в марте 2025 года. Исправления были выпущены на июньские и июльские релизы Patch Tuesday. Администраторам рекомендуется незамедлительно установить исправления и ограничить доступность контроллеров из интернета.
В условиях роста угроз DDoS, компании должны пересматривать модели угроз, учитывая возможность использования контроллеров не только в защитных целях. Включение мониторинга RPC, ограничение трафика и управление исправлениями помогут избежать превращения Windows в массовую ботнет-структуру.
Комментарии (0)