Новый метод атаки, именуемый Win-DDoS, способен превратить тысячи общедоступных Windows-контроллеров домена (DCs) в мощный ботнет для масштабных DDoS-атак. Обнаружение было представлено исследователями SafeBreach Ораем Яиром и Шахаком Морагом на конференции DEF CON 33. Злоумышленники могут использовать уязвимости в клиентском коде Lightweight Directory Access Protocol (LDAP) Windows, управляя URL-перенаправлениями для перенаправления трафика с компрометированных DCs на целевой сервер, приводя его в перегрузку. Этот метод не требует выполнения вредоносного кода или использования украденных учетных данных, что позволяет атакующим действовать незаметно.
Как работает Win-DDoS
Цепочка атаки Win-DDoS выглядит следующим образом: нападающий отправляет DCs запрос RPC, побуждая их действовать как CLDAP-клиенты; затем эти клиенты соединяются с CLDAP-сервером нападателя, который выдает перенаправление на LDAP-сервер, контролируемый злоумышленником. LDAP-сервер отвечает обширным списком перенаправлений, направляющих на один IP и порт. Каждое перенаправление вызывает повторные TCP-соединения к жертве, истощая ее ресурсы.
Исследователи предупреждают, что высокая пропускная способность техники и отсутствие необходимости в компрометированной инфраструктуре делают Win-DDoS скрытым и мощным кибероружием. Microsoft выпустила обновления для четырех связанных уязвимостей: CVE-2025-26673 (неконтролируемое потребление ресурсов LDAP, CVSS 7.5); CVE-2025-32724 (неконтролируемое потребление ресурсов LSASS, CVSS 7.5); CVE-2025-49716 (неконтролируемое потребление ресурсов Netlogon, CVSS 7.5); CVE-2025-49722 (неконтролируемое потребление ресурсов спулера печати, CVSS 5.7). Эти уязвимости позволяют неавторизованным атакующим удаленно вывести из строя контроллеры домена или позволить авторизованным пользователям нарушить работу внутренних систем.
SafeBreach сравнила уязвимости с LDAPNightmare (CVE-2024-49113) и подчеркнула, что предприятия часто недооценивают риск атак отказа в обслуживании внутренней инфраструктуры. Эти находки подчеркивают необходимость аудита воздействия контроллеров домена, применения актуальных обновлений безопасности и пересмотра предположений о безопасности внутренней сети.
