На конференции DEF CON 33 исследователи SafeBreach представили новый метод распределенной атаки типа отказа в обслуживании (DoS), которая использует Windows-доменные контроллеры (DC) и эксплуатирует уязвимости в необаутентифицированных RPC и LDAP. Эта техника, получившая название Win-DDoS, может использовать доменные контроллеры для удаленного сбоя DC или других конечных точек Windows во внутренних сетях, а также собирать ботнет из публичных DC.
LDAP и RPC в центре внимания
Техника Win-DDoS основывается на недостатках в клиентских кодах, обрабатывающих LDAP-реферралы и определенные взаимодействия через RPC. Манипулируя механизмом LDAP-реферралов, злоумышленники могут перенаправлять доменные контроллеры на постоянные запросы к контролируемым злодеем конечным точкам, что приводит к затоплению жертв ненужным трафиком. Используя ранее выявленную уязвимость LDAPNightmare CVE-2024-49113, исследователи продемонстрировали, как злоумышленники могут скомпрометировать множество публичных доменных контроллеров, создавая высокоэффективный ботнет.
Дополнительные уязвимости и потенциал DoS
Кроме того, SafeBreach обнаружили дополнительные уязвимости DoS: сформированные специальные RPC-запросы к службе Netlogon доменных контроллеров, которые могут вызвать сбой службы без аутентификации; специально сформированные запросы LDAP, дестабилизирующие LSASS (Local Security Authority Subsystem Service) и вызывающие немедленный отказ в обслуживании; а также баг DoS в диспетчере очереди печати Windows, вызванный неправильными RPC-запросами. Некоторые из этих уязвимостей приводят к сбоям и экрану смерти, отправляя чрезмерно большие реферралы или некорректные запросы.
Ответ и рекомендации Microsoft
Microsoft уже исправила LDAPNightmare (CVE-2024-49113) и CVE-2025-32724 через регулярные обновления Patch Tuesday, но несколько других уязвимостей, о которых сообщала компания SafeBreach, остаются неустраненными. SafeBreach рекомендует применять последние обновления от Microsoft, ограничивать экспозицию служб доменных контроллеров в интернет, сегментировать критические системы и мониторить необычную активность LDAP или RPC, чтобы иметь возможность рано обнаруживать и смягчать атаку Win-DDoS.
