Уязвимости в доменных контроллерах
Исследователи из SafeBreach опубликовали данные о нескольких уязвимостях, которые могут быть использованы для сбоев работы контроллеров домена Windows Active Directory. Одна из этих уязвимостей, обозначенная как CVE-2025-32724, может быть задействована злоумышленниками для участия доменных контроллеров в
Техника атаки Win-DDoS
Доменные контроллеры управляют безопасностью, процессами аутентификации и контролем доступа, и большинство из них в организациях работают на серверах Windows с сервисами Active Directory Domain Services. Для атаки Win-DDoS злоумышленники отправляют специализированный RPC-запрос к контроллерам домена, доступным из интернета, принуждая их вести себя как CLDAP-клиенты, указывающие на CLDAP-сервер атакующего. Эти серверы отвечают LDAP-отказом, который указывает на LDAP/TCP-сервер атакующего, который возвращает список тысяч LDAP-адресов, все направленные на одну и ту же IP и порт жертвы. Контроллеры неоднократно отправляют LDAP-запросы к этому порту, генерируя объемный трафик в сторону жертвы.
Рекомендации и меры предосторожности
- Microsoft выпустила патчи для поддерживаемых версий Windows Server и Windows в течение апреля, июня и июля 2025 года. Если организации ещё не установили эти обновления, рекомендуется сделать это без промедления.
- Исследователи SafeBreach, Ор Яир и Шахак Мораг, советуют предполагать возможность атак на все серверы и эндпоинты, независимо от того, являются ли они публично доступными или внутренними, а также внедрять меры по обнаружению атак, защите и быстрому выявлению источников атак.
Исследование SafeBreach подчёркивает, что уязвимости типа Win-DDoS угрожают безопасности даже тех серверов, которые находятся под постоянным наблюдением и защитой, включая контроллеры домена Windows Active Directory или контроллеры Windows Domain Controller (контроллер домена). Эти риски в очередной раз напоминают о важности своевременного обновления и усиления мер защиты, чтобы минимизировать возможность злоупотреблений, таких как Win-DDoS.
