Uma nova técnica de ataque poderia ser armada para envolver milhares de controladores de domínio público (DCs) ao redor do mundo para criar um botnet malicioso e usá-lo para conduzir poderosos ataques de negação de serviço distribuído (DDoS).
A abordagem foi batizada de Win-DDoS pelos pesquisadores da SafeBreach, Or Yair e Shahak Morag, que apresentaram suas descobertas na conferência de segurança DEF CON 33 hoje.
"Ao explorarmos as complexidades do código cliente LDAP do Windows, descobrimos uma falha significativa que nos permitiu manipular o processo de referência de URL para apontar DCs para um servidor vítima e sobrecarregá-lo," disseram Yair e Morag em um relatório compartilhado com o site The Hacker News.
Como resultado, fomos capazes de criar o Win-DDoS, uma técnica que permitiria a um atacante aproveitar o poder de dezenas de milhares de DCs públicos ao redor do mundo para criar um botnet malicioso com vastos recursos e taxas de upload.
Tudo isso sem comprar nada e sem deixar um rastro identificável.
Ao transformar os DCs em um bot de DDoS sem a necessidade de execução de código ou credenciais, o ataque essencialmente torna a plataforma Windows tanto a vítima quanto a arma.
O fluxo do ataque segue da seguinte forma:
Atacante envia uma chamada RPC para os DCs que os leva a se tornarem clientes CLDAP.
DCs enviam a solicitação CLDAP para o servidor CLDAP do atacante, que então retorna uma resposta de referência que direciona os DCs para o servidor LDAP do atacante, a fim de mudar de UDP para TCP
DCs enviam a consulta LDAP para o servidor LDAP do atacante via TCP.
O servidor LDAP do atacante responde com uma resposta de referência LDAP contendo uma longa lista de URLs de referência LDAP, todas apontando para uma única porta em um único endereço IP
DCs enviam uma consulta LDAP para essa porta, fazendo com que o servidor web que pode ser servido via a porta feche a conexão TCP
"Uma vez que a conexão TCP é interrompida, os DCs continuam para a próxima referência na lista, que aponta para o mesmo servidor novamente," disseram os pesquisadores.
"E esse comportamento se repete até que todas as URLs na lista de referência terminem, criando nossa inovadora técnica de ataque Win-DDoS." O que torna o Win-DDoS significativo é que ele possui uma alta largura de banda e não requer que um atacante compre infraestrutura dedicada.
Nem necessita que eles violam quaisquer dispositivos, permitindo assim que permaneçam sob o radar.
Uma análise mais aprofundada do processo de referência de código cliente LDAP revelou que é possível desencadear uma falha no LSASS, reinicialização ou uma tela azul da morte (BSoD) enviando listas de referências longas para os DCs, aproveitando o fato de que não existem limites para os tamanhos das listas de referências e as referências não são liberadas da memória heap do DC até que as informações sejam recuperadas com sucesso.
Além disso, o código agnóstico de transporte que é executado para atender solicitações de clientes foi encontrado para abrigar três novas vulnerabilidades de negação de serviço (DoS) que podem derrubar controladores de domínio sem a necessidade de autenticação e uma falha adicional de DoS que fornece a qualquer usuário autenticado a capacidade de derrubar um controlador de domínio ou computador Windows em um domínio.
As deficiências identificadas estão listadas abaixo:
-
CVE-2025-26673
(pontuação CVSS: 7.5) - Consumo incontrolado de recursos no Protocolo de Acesso a Diretórios Leves do Windows (LDAP) permite que um atacante não autorizado negue serviço através de uma rede (Corrigido em maio de 2025);
-
CVE-2025-32724
(pontuação CVSS: 7.5) - Consumo incontrolado de recursos no Serviço de Subsistema de Autoridade de Segurança Local do Windows (LSASS) permite que um atacante não autorizado negue serviço através de uma rede (Corrigido em junho de 2025);
-
CVE-2025-49716
(pontuação CVSS: 7.5) - Consumo incontrolado de recursos no Netlogon do Windows permite que um atacante não autorizado negue serviço através de uma rede (Corrigido em julho de 2025);
-
CVE-2025-49722
(pontuação CVSS: 5.7) - Consumo incontrolado de recursos nos Componentes do Spooler de Impressão do Windows permite que um atacante autorizado negue serviço em uma rede adjacente (Corrigido em julho de 2025).
Como a vulnerabilidade LDAPNightmare (
CVE-2024-49113
) detalhada anteriormente em janeiro, as últimas descobertas mostram que existem pontos cegos no Windows que podem ser alvo e explorados, paralisando operações comerciais.
"As vulnerabilidades que descobrimos são de zero-clique, vulnerabilidades não autenticadas que permitem que atacantes derrubem esses sistemas remotamente se eles forem publicamente acessíveis, e também mostram como atacantes com acesso mínimo a uma rede interna podem desencadear os mesmos resultados contra infraestrutura privada," disseram os pesquisadores.
Nossas descobertas quebram suposições comuns em modelagem de ameaças empresariais: que os riscos de DoS se aplicam apenas a serviços públicos, e que sistemas internos estão seguros de abuso a menos que estejam completamente comprometidos.
As implicações para a resiliência empresarial, modelagem de risco e estratégias de defesa são significativas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...