‘Win-DDoS’: Researchers unveil botnet technique exploiting Windows domain controllers

安全研究人员展示利用Windows域控制器的新型DDoS技术

在DEF CON 33上，安全研究人员展示了一种新型的分布式拒绝服务（DDoS）技术，该技术利用武器化的Windows域控制器（DCs）以及一组影响Windows服务的零点击漏洞。

被称为“Win-DDoS”的攻击策略涉及使用远程过程调用（RPC）框架远程崩溃内部网络上的域控制器或其他Windows端点。

“我们发现了一种新型的DDoS技术，可用于利用公共DCs创建恶意僵尸网络，三个新的DoS漏洞提供了无需认证即可崩溃DCs的能力，以及一个新的DoS漏洞，为任何认证用户提供了崩溃域中任何DC或Windows计算机的能力，”SafeBreach研究人员在博客文章中表示。

攻击者可利用客户端盲点

Win-DDoS操纵LDAP引用机制，将DCs重定向以向受害者控制的端点发送重复请求，用意外的网络流量淹没目标，展示了如何滥用客户端组件中的嵌入式信任。

根据研究人员的说法，客户端代码中存在盲点，这是域控制器中处理LDAP引用或其他RPC交互时客户端逻辑的服务。

“客户端代码期望服务器是由客户端选择的，因此服务器及其返回的信息通常被信任，”研究人员说。“因此，如果客户端代码可以被远程触发与攻击者控制的服务器交互，那么我们就有了远程客户端代码，它比远程服务器代码更信任我们。”

利用被追踪为CVE-2024-49113的LDAPNightmare漏洞，研究人员能够创建Win-DDoS技术，使攻击者能够 compromise 全球数万个公共DCs，以创建具有“巨大资源和上传速率”的僵尸网络。

此外，LDAP客户端代码的引用过程缺乏对列表大小的限制（CVE-2025-32724），并且仅在完成后释放内存，允许未经认证的攻击者发送过大的列表，崩溃Windows LSASS并触发蓝屏死机（BSOD），导致拒绝服务。

研究揭示更多DoS缺陷

SafeBreach研究人员还在DC的Netlogon服务中发现了CVE-2025-26673，其中精心制作的RPC调用可以在无需认证的情况下远程崩溃服务。通过利用此弱点，攻击者可以击溃关键的Windows认证组件， potentially 锁定用户无法访问域资源，直到系统重新启动。类似地，CVE-2025-49716针对Windows本地安全权威子系统服务（LSASS），使远程攻击者能够发送特殊形成的LDAP查询， destabilize 服务，导致受影响主机立即发生DoS。

Rounding out SafeBreach的列表是CVE-2025-49722，Windows打印后台处理程序中的一个DoS缺陷。此漏洞可通过发送格式错误的RPC请求触发，导致后台处理程序进程失败，中断打印操作，并在某些情况下影响更广泛的系统稳定性。

虽然微软已通过2024年12月和2025年4月的Patch Tuesday发布分别修复了LDAPNightmare（CVE-2024-49113）和CVE-2025-32724，但SafeBreach报告的其余三个漏洞仍未解决。微软未立即回应CSO的评论请求。为防御Win-DDoS和其他DoS风险，SafeBreach敦促应用微软的最新补丁，限制DC服务暴露，分段关键系统，并监控异常的LDAP或RPC流量以早期检测攻击。