آسیبپذیریهای جدید Win-DDoS به مهاجمان امکان میدهد کنترلرهای دامنه عمومی را از طریق RPC و LDAP به باتنت DDoS تبدیل کنند.
به گزارش افتانا، یک تکنیک حمله نوین میتواند برای بهکارگیری هزاران کنترلر دامنه (Domain Controller – DC) عمومی در سراسر جهان، بهمنظور ایجاد یک باتنت مخرب و اجرای حملات قدرتمند توزیعشده انکار سرویس (DDoS) مورد سوءاستفاده قرار گیرد.
این روش با نامWin-DDoS توسط پژوهشگران شرکت SafeBreachشناسایی و در کنفرانس امنیتی DEF CON 33 ارائه شده است. آنها در مورد یافتههای خود توضیح دادند: «در جریان بررسی جزئیات کد کلاینت LDAP ویندوز به یک نقص مهم برخوردیم که به ما اجازه میداد فرایند ارجاع (Referral) URL را طوری دستکاری کنیم که DCها را به سمت یک سرور قربانی هدایت کرده و آن را تحت فشار قرار دهیم. به این ترتیب توانستیم Win-DDoS را ایجاد کنیم، روشی که به مهاجم امکان میدهد بدون پرداخت هزینه یا بر جای گذاشتن اثر قابلردگیری، قدرت دهها هزار DC عمومی را به یک باتنت با منابع و نرخ آپلود بالا تبدیل کند.»
این حمله، بدون نیاز به اجرای کد یا در اختیار داشتن اعتبارنامهها، کنترلرهای دامنه ویندوز را بهگونهای تبدیل میکند که هم قربانی و هم ابزار حمله باشند. روند حمله به این شکل است که مهاجم یک فراخوانی RPC به DCها ارسال میکند که باعث میشود آنها به کلاینتهای CLDAP تبدیل شوند. DCها درخواست CLDAP را به سرور CLDAP مهاجم میفرستند؛ این سرور پاسخی ارجاعی (Referral) بازمیگرداند که DCها را به سرور LDAP مهاجم هدایت میکند تا پروتکل از UDP به TCP تغییر یابد. DCها پرسوجوی LDAP را از طریق TCP به سرور LDAP مهاجم ارسال میکنند. سرور LDAP مهاجم پاسخی ارجاعی با فهرستی بلند از URLهای ارجاع LDAP برمیگرداند که همگی به یک پورت روی یک آدرس IP واحد اشاره دارند. DCها پرسوجوی LDAP را به آن پورت ارسال میکنند و باعث میشوند وبسرور مقصد اتصال TCP را ببندد. پس از قطع اتصال،DC به سراغ ارجاع بعدی در فهرست میرود، که باز هم به همان سرور اشاره دارد. این چرخه تا پایان لیست ادامه یافته و حمله Win-DDoS را ایجاد میکند.
آنچه Win-DDoS را مهم میکند، این است که پهنای باند بالایی دارد، به زیرساخت اختصاصی نیاز ندارد و بدون نفوذ به دستگاهها اجرا میشود و عملاً بدون جلب توجه انجام میگیرد.
بررسی عمیقتر کد کلاینت LDAP نشان داده است که میتوان با ارسال فهرستهای ارجاع طولانی، منجر به Crash شدن LSASS، راهاندازی مجدد سیستم یا صفحه آبی مرگ (BSoD) شد؛ زیرا هیچ محدودیتی برای اندازه لیست ارجاع وجود ندارد و این دادهها تا زمان تکمیل بازیابی، از حافظه Heap DC آزاد نمیشوند. Win-DDoS با تغییر این رفتار، به جای از کار انداختن سیستم، آن را مجبور میکند حجم زیادی بسته LDAP را به یک هدف مشخص ارسال کند.
حمله TorpeDoS و آسیبپذیریهای دیگر
با توجه به وابستگی شدید DCها به RPC، پژوهشگران SafeBreach روشی به نام TorpeDoS معرفی کردهاند که تأثیری مشابه DDoS ایجاد میکند اما تنها از یک کامپیوتر استفاده میکند. این روش نرخ فراخوانی RPC را بهقدری بهینه میکند که یک سیستم منفرد، قدرت تخریبی معادل دهها هزار سیستم را داشته باشد.
علاوه بر این، در کد حملونقل ناوابسته (Transport-agnostic) که برای پردازش درخواستهای کلاینت استفاده میشود، سه آسیبپذیری جدید DoS شناسایی شده که بدون احراز هویت میتوانند DCها را از کار بیندازند، و یک آسیبپذیری دیگر که با دسترسی کاربر احراز شده، امکان Crash سیستم را فراهم میکند:
CVE-2025-26673: مصرف بیرویه منابع در LDAP ویندوز، امکان حمله DoS بدون احراز هویت (رفعشده در مه ۲۰۲۵)
CVE-2025-32724: مصرف بیرویه منابع در سرویس LSASS ویندوز (رفعشده در ژوئن ۲۰۲۵)
CVE-2025-49716:مصرف بیرویه منابع در Netlogon ویندوز (رفعشده در ژوئیه ۲۰۲۵)
CVE-2025-49722:مصرف بیرویه منابع در مؤلفههای Print Spooler ویندوز که به کاربر مجاز اجازه حمله DoS در شبکه مجاور میدهد (رفعشده در ژوئیه ۲۰۲۵)
همانند آسیبپذیری LDAPNightmare (CVE-2024-49113) که در ژانویه ۲۰۲۴ گزارش شد، یافتههای جدید نشان میدهد نقاط کوری در ویندوز وجود دارد که میتواند با هدف قرار دادن آنها، عملیات سازمانها را فلج کرد.
همه این آسیبپذیریها Zero-click و بدون نیاز به احراز هویت هستند و این امکان را به مهاجم میدهند که از راه دور، سیستمهای عمومی یا داخلی را از کار بیندازد. حتی با کمترین دسترسی به شبکه داخلی، میتوان همین نتایج را علیه زیرساخت خصوصی ایجاد کرد.
به گفته پژوهشگران این پروژه، این یافتهها فرضیات رایج در مدلسازی تهدید سازمانی را زیر سؤال میبرد: اینکه خطر DoS فقط متوجه سرویسهای عمومی است و اینکه سیستمهای داخلی تا زمانی که بهطور کامل نفوذ نشدهاند، امن هستند. پیامدهای این موضوع برای تابآوری سازمان، مدلسازی ریسک و راهبردهای دفاعی بسیار مهم است.
