‘Win-DDoS’: Researchers unveil botnet technique exploiting Windows domain controllers

在DEF CON 33上，安全研究人员展示了一种新型的分布式拒绝服务（DDoS）技术，该技术利用武器化的Windows域控制器（DCs）以及一组影响Windows服务的零点击漏洞。

被称为“Win-DDoS”的攻击策略涉及使用远程过程调用（RPC）框架远程崩溃内部网络上的域控制器或其他Windows端点。

“我们发现了一种新型的DDoS技术，可用于利用公共DCs创建恶意僵尸网络，三个新的DoS漏洞提供了无需认证即可崩溃DCs的能力，以及一个新的DoS漏洞，为任何认证用户提供了崩溃域中任何DC或Windows计算机的能力，”SafeBreach研究人员在一篇博客文章中表示。

这一发现是对先前Windows轻量级目录访问协议（LDAP）远程代码执行（RCE）漏洞LDAPNightmare的后续研究的一部分，SafeBreach Labs在一月份发布了该漏洞的第一个概念验证（PoC）利用。

攻击者可以针对客户端盲点

Win-DDoS通过操纵LDAP引用机制，将DCs重定向到发送重复请求到受害者控制的端点，从而淹没目标 unintended 网络流量，展示了如何滥用客户端组件中的嵌入式信任。

根据研究人员的说法，客户端代码中存在一个盲点，该服务在域控制器中处理客户端逻辑，当处理LDAP引用或其他RPC交互时。

“客户端代码期望服务器是由客户端选择的，因此服务器及其返回的信息通常是被信任的，”研究人员表示。“因此，如果客户端代码可以被远程触发与攻击者控制的服务器交互，那么我们就有了远程客户端代码，它比远程服务器代码可能更信任我们。”

利用被追踪为CVE-2024-49113的LDAPNightmare漏洞，研究人员能够创建Win-DDoS技术，使攻击者能够 compromise 全球数万个公共DCs，创建一个具有“庞大资源和上传速率”的僵尸网络。

此外，LDAP客户端代码的引用过程缺乏对列表大小的限制（CVE-2025-32724），并且仅在完成后释放内存，允许未认证的攻击者发送过大的列表，崩溃Windows LSASS并触发蓝屏死机（BSOD），导致拒绝服务。

研究揭示了更多DoS缺陷

SafeBreach研究人员还发现了DC的Netlogon服务中的CVE-2025-26673，其中精心制作的RPC调用可以在无需认证的情况下远程崩溃该服务。通过利用这一弱点，攻击者可以击溃关键的Windows认证组件， potentially 锁定用户 out of 域资源，直到系统重新启动。类似地，CVE-2025-49716针对Windows本地安全权威子系统服务（LSASS），使远程攻击者能够发送 specially formed LDAP查询， destabilize 该服务，导致受影响主机上的立即DoS。

Rounding out SafeBreach的列表是CVE-2025-49722，一个Windows打印后台处理程序中的DoS缺陷。这个漏洞可以通过发送畸形RPC请求触发，导致后台处理程序进程失败，中断打印操作，并在某些情况下影响更广泛的系统稳定性。

虽然微软在最近的Patch Tuesday发布中仅修复了LDAPNightmare（CVE-2024-49113）、CVE-2025-32724和CVE-2025-49716，但SafeBreach报告的其他漏洞可能也已得到解决。

“这份报告已通过CVE-2025-49716得到解决，安装了最新更新或启用了自动更新的客户已经受到保护，”一位微软发言人在评论中告诉CSO。“我们感谢与SafeBreach的协调，并致力于不断改进客户的安全，以及与我们更广泛的社区分享我们所学的知识。”