Win-DoS создает новые угрозы для Windows-инфраструктур

На конференции DEF CON 33 исследователи из SafeBreach Labs, Яир и Шахак Мораг, представили новый тип атак отказа в обслуживании, который они назвали «Эпидемия Win-DoS». Эти атаки угрожают всем конечным точкам и серверам на базе Windows, включая контроллеры домена. Они также могут превращать публичные DC в огромные DDoS-ботнеты.

Win-DoS: Невосприимчивость и новые угрозы

Исследователи раскрыли четыре новые уязвимости в Windows, все они связаны с неконтролируемым потреблением ресурсов:

1. DoS высокой степени опасности в Windows LDAP (CVSS 7.5)
2. DoS высокой степени опасности в Windows LSASS (CVSS 7.5)
3. DoS высокой степени опасности в Windows Netlogon (CVSS 7.5)
4. DoS средней степени опасности в Windows Print Spooler (CVSS 5.7), требующий аутентифицированного атакующего в соседней сети

Успешная атака DoS на контроллер домена может заблокировать пользователей от входа в систему и доступа к ресурсам, значительно ослабляя организацию. Это исследование расширяет выводы LdapNightmare, выходя за пределы LDAP и затрагивает другие ключевые службы Windows.

Опасности новой техники DDoS

Команда также описала новую технику DDoS с использованием названия Win-DDoS, которая использует процесс перенаправления клиента Windows LDAP. Манипулируя перенаправлениями, злоумышленники могут заставить контроллеры домена многократно перенаправлять запросы на сервер-жертву, что позволяет проводить атаки с высокой пропускной способностью, используя десятки тысяч общедоступных DC, не требуя инфраструктуры или оставляя трассировочные следы.

Исследователи предупреждают, что данный подход может создать массовые, дешевые и труднопрослеживаемые ботнеты, использующие общедоступные контроллеры домена, представляя собой значительное усиление возможностей DDoS.

Обновлено: 22.08.2025