Win-DoS漏洞概述
SafeBreach Labs的研究員Or Yair和Shahak Morag披露了一類新的Windows拒絕服務(DoS)漏洞,這些漏洞可能被用來崩潰關鍵基礎設施,或將公用的Windows域控制器(DC)變成高帶寬的分散式阻斷服務(DDoS)攻擊工具。這些漏洞被稱為“Win-DoS流行病”,並且已經有多個Windows服務的概念驗證工具。
漏洞分類
這些問題都被歸類為無控制的資源消耗漏洞。其中三個可以遠程觸發且無需身份驗證,一個需要最小的身份驗證訪問:
- CVE-2025-26673(CVSS 7.5):Windows LDAP服務中的DoS漏洞
- CVE-2025-32724(CVSS 7.5):Windows LSASS中的DoS漏洞,這也是Win-DDoS攻擊鏈的核心
- CVE-2025-49716(CVSS 7.5):Windows Netlogon中的DoS漏洞
- CVE-2025-49722(CVSS 5.7):Windows Print Spooler中的DoS漏洞(需要相鄰網絡上的已驗證用戶)
前三個漏洞可以通過單個製作的數據包或消息序列針對一個可從互聯網訪問的服務端點進行利用,無需用戶交互。
域控制器的運行影響
域控制器運行Active Directory域服務(AD DS),負責身份驗證(Kerberos、NTLM)、授權和目錄查詢。對DC的DoS攻擊有直接的運行影響:
- 用戶無法獲取Kerberos票證或登錄。
- 群組策略對象無法應用。
- 依賴Active Directory的資源訪問被阻止。
早期的研究(LDAPNightmare,CVE-2024-49113)顯示LDAP服務可以被遠程崩潰。新的Win-DoS漏洞將攻擊面擴展到LSASS、Netlogon和Print Spooler,影響多個關鍵代碼路徑。
Win-DDoS:將DC轉變為殭屍網絡
最嚴重的後果是Win-DDoS技術,利用CVE-2025-32724將公用DC轉變為無狀態的DDoS代理。
攻擊鏈:
- 觸發CLDAP連接:向可從互聯網訪問的DC發送製作的RPC調用,迫使其充當CLDAP客戶端。
- 引入推薦:攻擊者的CLDAP服務器返回一個LDAP轉介,指向攻擊者控制的LDAP/TCP端點。
- 推薦放大:LDAP/TCP端點響應數千個LDAP URL,解析到受害者的IP和端口。
- 不斷流量生成:DC在推薦列表中循環,重複啟動TCP連接並向受害者發送LDAP負載。由於大多數Web服務器會在收到無效的LDAP數據後立即關閉TCP會話,DC會重試列表中的下一個推薦,直到推薦列表耗盡。
Win-DDoS的關鍵特點:
- 無需執行代碼或控制DC。
- 流量來自合法基礎設施(公用DC),使歸因和過濾更困難。
- 潛在規模:數萬個具有公用LDAP曝光的DC。
- 無需攻擊者控制的殭屍網絡基礎設施。
利用RPC進行零點擊DoS
團隊還識別了Windows RPC綁定行為中的弱點。通過製作重複調用目標RPC服務器,他們繞過並發限制,迫使資源耗盡而無需身份驗證。此方法適用於接受未經身份驗證調用的任何RPC服務,這在默認Windows部署中很常見。
緩解措施和補丁
微軟已為2025年4月、6月和7月的所有受支持的Windows版本發布了安全更新,涵蓋所有四個CVE。鑑於目前已有公開的概念驗證工具,補丁應被視為緊急措施。
推薦的防禦措施:
- 為所有Windows服務器和終端應用微軟補丁,優先考慮域控制器和其他暴露的LDAP/Netlogon/LSASS系統。
- 限制DC和相關服務(LDAP、CLDAP、RPC)的公眾曝光,可能可以考慮使用像北斗數位提供的抗攻擊主機服務來加強防護。