黑客利用 RPC 与 LDAP 漏洞，将公共域控制器组建成恶意僵尸网络

一种新型攻击技术可操控全球数千台公共域控制器（DC）组建恶意僵尸网络，用于发动高威力分布式拒绝服务（DDoS）攻击。该技术被SafeBreach研究人员奥尔·亚伊尔（Or Yair）和沙哈克·莫拉格（Shahak Morag）命名为Win-DDoS，并于今日在DEF CON 33安全大会上公布研究成果。

亚伊尔和莫拉格在报告中指出：“分析Windows轻量级目录访问协议（LDAP）客户端代码时，我们发现其转介流程存在重大缺陷。攻击者可操纵该流程，诱导域控制器向目标服务器发送海量请求致其瘫痪。”他们进一步解释：“由此开发的Win-DDoS技术，能让黑客无需任何成本且不留痕迹地操控全球数万台公共域控制器，组建具备巨大算力和带宽的恶意僵尸网络。”

攻击核心机制

该技术无需代码执行或凭证即可将域控制器转化为DDoS武器，使Windows平台同时成为受害者和攻击载体。攻击流程分为四步：

1. 攻击者向域控制器发送RPC调用，触发其成为CLDAP客户端；
2. 域控制器向攻击者的CLDAP服务器发送请求，服务器返回转介响应，指示域控制器切换至TCP协议连接攻击者的LDAP服务器；
3. 域控制器通过TCP向攻击者的LDAP服务器发送查询；
4. 攻击者的LDAP服务器返回包含超长转介URL列表的响应，所有URL均指向目标服务器的同一IP和端口。

研究人员说明：“当TCP连接因目标服务器过载而中断后，域控制器会继续访问列表中指向同一服务器的下一个URL。此过程循环直至遍历完整个列表，形成创新的Win-DDoS攻击链。”

技术优势与危害

Win-DDoS的核心威胁在于其具备高带宽攻击能力，且攻击者无需购买专用基础设施或入侵设备，可完美隐藏行踪。深入分析LDAP客户端转介流程还发现：

1. 利用转介列表长度无限制及堆内存未释放的设计缺陷，发送超长列表可导致LSASS服务崩溃、系统重启或触发蓝屏死机（BSoD）；
2. 处理客户端请求的传输无关代码中存在三个新型零点击、无需认证的拒绝服务（DoS）漏洞，可瘫痪域控制器；
3. 另有一个漏洞允许域内任何认证用户崩溃域控制器或Windows主机。

相关漏洞清单

研究披露的四项漏洞均属“不受控资源消耗”类型：

1. CVE-2025-26673（CVSS 7.5）：Windows LDAP服务漏洞，未授权攻击者可实施网络级拒绝服务（2025年5月修复）
2. CVE-2025-32724（CVSS 7.5）：Windows LSASS服务漏洞，未授权攻击者可实施网络级拒绝服务（2025年6月修复）
3. CVE-2025-49716（CVSS 7.5）：Windows Netlogon服务漏洞，未授权攻击者可实施网络级拒绝服务（2025年7月修复）
4. CVE-2025-49722（CVSS 5.7）：Windows打印后台程序漏洞，相邻网络认证攻击者可实施拒绝服务（2025年7月修复）

打破安全假设

这些发现与今年1月披露的LdapNightmare漏洞（CVE-2024-49113）共同揭示：Windows系统存在可瘫痪企业运营的盲点。研究人员强调：“这些漏洞均为零点击、无需认证型，攻击者能远程崩溃公开暴露的系统。即使仅获得内部网络最低权限，也能对私有基础设施造成同等破坏。”他们总结：“研究颠覆了企业威胁建模的两大常见假设：拒绝服务风险仅影响公共服务；内部系统在完全失陷前不会被滥用。这对企业韧性建设、风险模型和防御策略具有重大意义。”

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；