Обещали защищённые контроллеры домена, получили армию ботов. Спасибо, Microsoft

SafeBreach Win-DDoS LDAP LSASS CVE-2025-26673 CVE-2025-32724 CVE-2025-49716 DEF CON
Обещали защищённые контроллеры домена, получили армию ботов. Спасибо, Microsoft
SafeBreach Win-DDoS LDAP LSASS CVE-2025-26673 CVE-2025-32724 CVE-2025-49716 DEF CON

Всего один RPC-запрос делает из контроллеров домена послушных марионеток.

image

Исследователи из SafeBreach представили на конференции DEF CON 33 новую технику атак, получившую название Win-DDoS. Она позволяет превратить тысячи общедоступных контроллеров домена (DC) по всему миру в мощную ботнет-сеть и использовать её для проведения DDoS-атак . Метод не требует покупки оборудования, внедрения кода или компрометации систем, что делает его крайне опасным и практически не оставляющим следов.

Механизм Win-DDoS основан на особенностях работы Windows LDAP-клиента. Специалисты обнаружили уязвимость, которая даёт возможность подменить процесс обработки URL-перенаправлений, заставив контроллеры домена обращаться к серверу жертвы. Это создаёт перегрузку его ресурсов и инициирует DDoS-атаку.

Для реализации атаки злоумышленник отправляет RPC-запрос, превращающий контроллеры в CLDAP-клиентов. Далее они подключаются к CLDAP-серверу атакующего, который отвечает ссылкой на LDAP-сервер. Тот, в свою очередь, передаёт обширный список LDAP-URL, ведущих на один и тот же IP и порт. При закрытии соединения контроллер повторяет попытки, проходя по всему списку, и снова обращается к той же цели, создавая постоянный поток трафика.

Этот способ выделяется высокой пропускной способностью и полным отсутствием необходимости взлома устройств. Более того, изучение кода обработки LDAP-перенаправлений выявило, что отправка чрезмерно длинных списков адресов может привести к сбою службы LSASS, перезагрузке системы или «синему экрану смерти». Причина в том, что размер списка никак не ограничен, а память, выделенная под него, освобождается только после успешного завершения запроса.

Дополнительно был найден ряд уязвимостей, позволяющих вывести контроллеры домена из строя без авторизации. Среди них — три ошибки с неконтролируемым потреблением ресурсов, ведущие к удалённому отказу в обслуживании, и одна аналогичная проблема, доступная аутентифицированному пользователю.

Они получили следующие идентификаторы: CVE-2025-26673 (LDAP, исправлена в мае 2025), CVE-2025-32724 (LSASS, исправлена в июне), CVE-2025-49716 (Netlogon, исправлена в июле) и CVE-2025-49722 (Print Spooler Components, исправлена в июле). Все они могут применяться для атак как на публично доступные, так и на внутренние сервисы, нарушая привычные представления о том, что DoS-риски актуальны лишь для внешних ресурсов.

Исследователи подчёркивают, что выявленные дефекты относятся к классу zero-click и позволяют проводить атаки на удалённые системы без каких-либо действий со стороны администратора или пользователя. Это открывает злоумышленникам возможность парализовать работу как корпоративных, так и государственных инфраструктур, а компаниям придётся пересмотреть модели угроз и подходы к защите, чтобы учесть подобные сценарии.