‘Win-DDoS’：研究人员披露利用Windows域控制器构建僵尸网络的技术

SafeBreach研究人员展示了攻击者如何利用未认证的RPC和LDAP漏洞使Windows域控制器崩溃，并构建僵尸网络。

在DEF CON 33上，安全研究人员展示了一种新型分布式拒绝服务（DDoS）技术，该技术利用武器化的Windows域控制器（DC）以及一系列影响Windows服务的零点击漏洞。这种被称为“Win-DDoS”的攻击策略涉及使用远程过程调用（RPC）框架远程崩溃内部网络上的域控制器或其他Windows终端。

“我们发现了一种新型DDoS技术，可用于利用公共DC创建恶意僵尸网络，三个新的DoS漏洞提供了无需认证即可崩溃DC的能力，以及一个新的DoS漏洞，为任何认证用户提供了崩溃域中任何DC或Windows计算机的能力，”SafeBreach研究人员在博客文章中表示。

这一发现是对之前Windows轻量级目录访问协议（LDAP）远程代码执行漏洞LDAPNightmare的后续研究的一部分，SafeBreach Labs在1月份发布了该漏洞的首个PoC利用。

攻击者可利用客户端盲点

Win-DDoS通过操纵LDAP引用机制，将DC重定向到发送重复请求到攻击者控制的终端，从而淹没目标网络流量。研究人员指出，客户端代码中存在盲点，这是域控制器中处理LDAP引用或其他RPC交互时客户端逻辑的服务。

“客户端代码期望服务器是由客户端选择的，因此服务器及其返回的信息通常被信任，”研究人员表示。“因此，如果客户端代码可以被远程触发与攻击者控制的服务器交互，那么我们就有远程客户端代码比远程服务器代码更信任我们。”

利用被追踪为CVE-2024-49113的LDAPNightmare漏洞，研究人员能够创建Win-DDoS技术，使攻击者能够利用全球数万个公共DC构建具有“庞大资源和上传速率”的僵尸网络。

此外，LDAP客户端代码的引用过程缺乏对列表大小的限制（CVE-2025-32724），并且仅在完成后释放内存，允许未经认证的攻击者发送过大的列表，导致Windows LSASS崩溃并触发蓝屏死机（BSOD），造成拒绝服务。

研究发现更多DoS漏洞

SafeBreach研究人员还发现了DC的Netlogon服务中的CVE-2025-26673漏洞，其中精心构造的RPC调用可以远程崩溃服务而无需认证。通过利用这一弱点，攻击者可以击溃关键的Windows认证组件，可能锁定用户对域资源的访问，直到系统重启。类似地，CVE-2025-49716针对Windows本地安全机构子系统服务（LSASS），使远程攻击者能够发送特殊构造的LDAP查询，破坏服务稳定性，导致受影响主机立即拒绝服务。

SafeBreach列表中的最后一个漏洞是CVE-2025-49722，这是Windows打印后台处理程序中的一个DoS漏洞。该漏洞可通过发送格式错误的RPC请求触发，导致后台处理程序进程失败，中断打印操作，并在某些情况下影响更广泛的系统稳定性。

尽管微软在最近的补丁星期二发布中仅修复了LDAPNightmare（CVE-2024-49113）、CVE-2025-32724和CVE-2025-49716，但SafeBreach报告的其他漏洞可能也已得到解决。

“此报告已通过CVE-2025-49716解决，安装了最新更新或启用了自动更新的客户已经受到保护，”微软发言人在评论中告诉CSO。“我们感谢与SafeBreach的协调，并致力于不断改进客户的安全性，并与更广泛的社区分享我们的经验。”