Win-DoS零点击漏洞可将Windows基础设施武器化用于DDoS攻击
安全研究人员发现了一种"零点击"拒绝服务攻击链,能够悄无声息地将数千台Microsoft Windows域控制器(DCs)转变为全球性僵尸网络,这在已经以破纪录的分布式拒绝服务(DDoS)活动为特征的年份中引发了新的警报。
根据Gcore最新的Radar报告,2024年底DDoS攻击同比增长56%,而Cloudflare的网络在2025年已经拦截了峰值达7.3 Tbps的单次洪水攻击,这是有史以来披露的最大规模攻击。
由于现在平均每分钟的停机时间成本约为6,000美元,典型事件对中小型企业的损失超过40万美元,防御者即使在新漏洞利用技术出现之前也面临着越来越大的压力。
Win-DoS零点击漏洞
零点击漏洞无需用户交互即可执行,通常滥用自动解析不可信数据的软件。
SafeBreach Labs的新研究展示了如何通过精心制作的RPC调用劫持Windows自身的轻量级目录访问协议(LDAP)客户端来构建"Win-DDoS"攻击流,该攻击通过无尽的LDAP引荐将DCs指向任何受害者服务器。
由于每个引荐都是自动追踪的,全球数千台DCs可以在不知情的情况下用TCP流量轰击目标——不需要恶意软件、凭证或横向移动。
| CVE | 组件 | 所需权限 | 影响 | 修补月份 |
|---|---|---|---|---|
| CVE-2025-32724 | LSASS (LDAP客户端) | 无 | 内存耗尽/DC崩溃 | 2025年6月 |
| CVE-2025-26673 | NetLogon (RPC) | 无 | TorpeDoS内存崩溃 | 2025年5月 |
| CVE-2025-49716 | NetLogon (RPC) | 无 | 无状态RPC DoS | 2025年7月 |
| CVE-2025-49722 | 打印后台处理程序 (RPC) | 认证用户 | 任何Windows端点崩溃 | 2025年7月 |
SafeBreach还将两种技术武器化:
- Win-DDoS – 滥用无限的LDAP引荐将公共DCs征募到带宽丰富的僵尸网络中
- TorpeDoS – 分离RPC绑定和有效载荷交付,使单个笔记本电脑能够打开数千个连接并以近乎DDoS的力量压垮服务器
域控制器的影响
域控制器是企业身份的基石。将它们击垮离线可以冻结登录、停止业务流程并瘫痪恢复。
即使是仅内部使用的DCs也很容易受到攻击;获得最小网络访问权限的攻击者可以将机器重定向到外部受害者或直接使其崩溃,推翻了长期以来的假设,即拒绝服务是"互联网边缘问题"。
架构盲点
这些缺陷也暴露了深层的架构盲点。LDAP客户端的引荐逻辑对列表大小没有限制,并将条目保存在内存中直到完成,而几个RPC接口允许每次调用无限制分配。
这些设计选择几十年来基本未变,现在对现代Windows舰队构成了"单包"致命开关。
修补建议
SafeBreach于2025年3月私下向微软报告了这些漏洞。所有四个CVE都在6月和7月的补丁星期二发布中得到解决,管理员被敦促立即应用补丁并验证DCs未暴露在互联网上。
在修补滞后的情况下,微软建议禁用不必要的CLDAP/RPC暴露并对引荐流量实施速率限制。
攻击策略演变
Win-DoS的出现正值攻击者从被劫持的IoT设备转向"靠基础设施生存"策略,滥用合法服务器进行放大。由于该技术不留恶意软件痕迹,传统的端点检测几乎无济于事。
分析人员警告,国家行为者可以将一个国家的DCs重定向到淹没另一个国家的关键基础设施,使归因和响应复杂化。
企业应对措施
随着DDoS流量和成本已经达到历史最高水平,发现零点击、无恶意软件的途径每天可产生数万亿数据包标志着一个关键时刻。
企业应重新审视将DCs视为纯粹防御资产的威胁模型,并将DoS加固、流量上限、RPC监控和积极的补丁管理添加到其Active Directory卫生手册中。不这样做可能会让Windows本身成为下一个大型僵尸网络。