Se podría armarse una nueva técnica de ataque para colocar miles de controladores de dominios públicos (DC) en todo el mundo para crear una botnet maliciosa y usarla para realizar ataques de falta de servicio (DDoS) distribuidos de potencia.
El enfoque ha sido conocido en código Win-DDOS por investigadores de SafeBreach o Yair y Shahak Morag, quienes presentaron sus hallazgos en la Conferencia de Seguridad Def Con 33 hoy.
“Mientras exploramos las complejidades del código del cliente LDAP de Windows, descubrimos un defecto significativo que nos permitió manipular el proceso de narración de URL para apuntar a DCS a un servidor de víctimas para abrumarlo”, dijeron Yair y Morag en un referencia compartido con las noticiero de los hackers.
“Como resultado, pudimos crear Win-DDOS, una técnica que permitiría a un atacante beneficiarse el poder de decenas de miles de DC públicas en todo el mundo para crear una botnet maliciosa con grandes capital y tasas de carga. Todo sin comprar mínimo y sin dejar una huella trazable”.
Al trocar DCS en un bot DDOS sin la requisito de ejecución de código o credenciales, el ataque esencialmente convierte la plataforma de Windows en convertirse en la víctima y el arsenal. El flujo de ataque es el próximo –
- El atacante envía una emplazamiento RPC a DCS que los desencadena para convertirse en clientes de CLDAP
- DCS Envíe la solicitud CLDAP al servidor CLDAP del atacante, que luego devuelve una respuesta de narración que refiere el DCS al servidor LDAP del atacante para cambiar de UDP a TCP
- DCS luego envíe la consulta LDAP al servidor LDAP del atacante a través de TCP
- El servidor LDAP del atacante asegura con una respuesta de narración LDAP que contiene una larga inventario de URL de narración LDAP, todo lo cual apunta a un solo puerto en una sola dirección IP
- DCS envía una consulta LDAP en ese puerto, lo que hace que el servidor web que se pueda servir a través del puerto cerradura la conexión TCP
“Una vez que se aborta la conexión TCP, el DCS continúa con la próximo narración en la inventario, que apunta nuevamente al mismo servidor”, dijeron los investigadores. “Y este comportamiento se repite hasta que todas las URL en la inventario de referencias terminan, creando nuestra innovadora técnica de ataque Win-DDOS”.
Lo que hace que Win-DDOS sea significativo es que tiene un detención orgulloso de partida y no requiere un atacante para comprar una infraestructura dedicada. Siquiera les requiere violar ningún dispositivo, lo que les permite volatilizarse bajo el radar.
https://www.youtube.com/watch?v=itqhjh-5xmy
Un examen posterior del proceso de narración del código del cliente LDAP ha revelado que es posible activar un obstrucción de LSASS, reiniciar o una pantalla garzo de homicidio (BSOD) enviando largas listas de narración a DC al beneficiarse el hecho de que no hay límites en los tamaños de listas de referencias y las referencias no se lanzan desde la memoria de DC hasta que la información se recupere con éxito.
Por otra parte de eso, se ha enemigo que el código de transporte descreído que se ejecuta a las solicitudes de los clientes del servidor alberga tres nuevas vulnerabilidades de denegación de servicio (DOS) que pueden aislar los controladores de dominio sin la requisito de autenticación, y una descompostura de DOS adicional que proporciona a cualquier favorecido autenticado con la capacidad de aislar un compensador de dominio o un computadora de Windows en un dominio.
Las deficiencias identificadas se enumeran a continuación –
- CVE-2025-26673 (Puntuación CVSS: 7.5) – El consumo de capital no controlado en el Protocolo de llegada de directorio raudo de Windows (LDAP) permite que un atacante no competente privar el servicio a través de una red (fijado en mayo de 2025)
- CVE-2025-32724 (Puntuación CVSS: 7.5) – El consumo de capital no controlado en el Servicio del Subsistema de la Autoridad de Seguridad Recinto de Windows (LSASS) permite a un atacante no competente desmentir el servicio a través de una red (fijado en junio de 2025)
- CVE-2025-49716 (Puntuación de CVSS: 7.5) – El consumo de capital no controlado en Windows NetLogon permite a un atacante no competente desmentir el servicio a través de una red (fijado en julio de 2025)
- CVE-2025-49722 (Puntuación CVSS: 5.7) – Consumo de capital no controlados en los componentes de la columna de impresión de Windows permite a un atacante competente desmentir el servicio a través de una red adyacente (fijado en julio de 2025)
Al igual que la vulnerabilidad de LDAPNightmare (CVE-2024-49113) detallada a principios de enero, los últimos hallazgos muestran que existen puntos ciegos en ventanas que podrían ser dirigidos y explotados, paralizando las operaciones comerciales.
“Las vulnerabilidades que descubrimos son vulnerabilidades no autenticadas con clic cero que permiten a los atacantes aislar estos sistemas de forma remota si son accesibles públicamente, y igualmente muestran cómo los atacantes con un llegada pequeño a una red interna pueden desencadenar los mismos resultados contra la infraestructura privada”, dijeron los investigadores.
“Nuestros hallazgos rompen suposiciones comunes en el modelado de amenazas empresariales: que los riesgos de DOS solo se aplican a los servicios públicos, y que los sistemas internos están a omitido de tropelía a menos que sean totalmente comprometidos. Las implicaciones para la resiliencia empresarial, el modelado de riesgos y las estrategias de defensa son significativas”.
