На мероприятии DEF CON 33 исследователи из SafeBreach Labs, Яир и Шахак Мораг, представили новые открытия, известные как Win-DoS Epidemic. Они обнаружили четыре уязвимости отказа в обслуживании (DoS) и один дефект, приводящий к безкликовому рассеянному отказу в обслуживании (DDoS) в операционной системе Windows.
Опасные уязвимости и их влияние
Совокупность уязвимостей, известная как неконтролируемое потребление ресурсов, получила высокие оценки риска по CVSS. В их числе:
- Уязвимость DoS в Windows LDAP с высокой степенью риска (CVSS 7.5);
- Уязвимость DoS в Windows LSASS с высокой степенью риска (CVSS 7.5);
- Уязвимость DoS в Windows Netlogon с высокой степенью риска (CVSS 7.5);
- Уязвимость средней степени риска (CVSS 5.7) в Windows Print Spooler, требующая аутентифицированного атакующего в соседней сети.
Исследователи продемонстрировали способы, которыми злоумышленники могут перезагрузить любую конечную точку Windows или сервер, включая критические конфигурации контроллеров домена. Публичные контроллеры домена могут быть преобразованы в огромную DDoS-ботнет-сеть через новую технику Win-DDoS, манипулируя процессом ссылок клиента Windows LDAP. Это позволяет злоумышленникам направлять десятки тысяч публичных контроллеров домена на жертву, создавая атаку, которую трудно отследить.
Подробности атаки и рекомендации
В дополнение к вышеперечисленному, исследователи активно использовали привязки RPC, чтобы обойти ограничения параллелизма, и выявили три уязвимости DoS, которые могут привести к перезагрузке систем Windows. Эти уязвимости не требуют взаимодействия с пользователем и не требуют аутентификации, за исключением одной, эксплуатируемой любым аутентифицированным сетевым пользователем.
Для демонстрации этих рисков была выпущена серия инструментов под названием Win-DoS Epidemic, которые могут удаленно перезагрузить уязвимые Windows-системы или инициировать Win-DDoS ботнет, используя публичные контроллеры домена.
Эти открытия расширяют предыдущие работы, включая CVE-2024-49113/LdapNightmare, и акцентируют внимание на угрозах, с которыми сталкиваются контроллеры домена, управляющие аутентификацией и доступом к центральным ресурсам. Microsoft выпустила исправления для некоторых вопросов, однако исследование подчеркивает необходимость пересмотра моделей угроз и усиления защиты служб, таких как LDAP, LSASS, Netlogon, RPC и Print Spooler. Применение исправлений и непрерывная проверка безопасности должны стать приоритетом для организаций.
