DEF CON安全大会披露新型零点击漏洞，Windows终端变僵尸网络

在DEF CON 33安全大会上，SafeBreach实验室的研究人员Yair和Shahak Morag披露了一类新型拒绝服务(DoS)攻击，命名为"Win-DoS Epidemic"。

研究团队公布了四项新的Windows DoS漏洞和一项零点击分布式拒绝服务(DDoS)漏洞。

这些漏洞均属于"不受控资源消耗"类型，包括：

CVE-2025-26673 (CVSS 7.5分):Windows LDAP服务中的高危DoS漏洞CVE-2025-32724 (CVSS 7.5分):Windows LSASS服务中的高危DoS漏洞CVE-2025-49716 (CVSS 7.5分):Windows Netlogon服务中的高危DoS漏洞CVE-2025-49722 (CVSS 5.7分):Windows打印后台处理程序中的中危DoS漏洞，需要相邻网络中的认证攻击者

研究表明，攻击者可以崩溃任何Windows终端或服务器，包括关键域控制器(DC)，甚至可以利用公共DC构建大规模DDoS僵尸网络。

Part01域控制器DoS攻击的危害

域控制器是大多数企业网络的骨干，负责处理身份验证并集中管理用户和资源。针对DC的成功DoS攻击可使整个组织瘫痪，导致用户无法登录、访问资源或执行日常操作。

这项研究基于团队此前发现的LdapNightmare漏洞(CVE-2024-49113)，该漏洞是首个公开的Windows DC DoS利用方法。新发现将威胁范围从LDAP扩展到其他核心Windows服务。

Part02利用公共基础设施的新型僵尸网络

最令人担忧的发现是被命名为Win-DDoS的新型攻击技术。该技术利用了Windows LDAP客户端转介流程中的缺陷。研究人员发现，通过操纵这一流程，可以将DC重定向至目标服务器，并使其持续重复这一行为。

攻击者借此可调动全球数万台公共DC的巨大算力，将其转变为免费且无法追踪的大型DDoS僵尸网络。这种攻击无需特殊基础设施，也不会留下取证痕迹，因为恶意活动源自被利用的DC而非攻击者设备。

Part03滥用RPC协议导致系统崩溃

研究人员还重点研究了远程过程调用(RPC)协议——Windows进程间通信的核心组件。Windows环境中的RPC服务器普遍存在，且通常具有较大攻击面，特别是那些无需认证的服务。

SafeBreach团队发现，通过滥用RPC绑定中的安全缺陷，可以从单一系统反复攻击同一RPC服务器，有效绕过标准并发限制。该方法帮助他们发现了三个新的零点击、无需认证的DoS漏洞，可崩溃任何Windows系统(服务器和终端)。他们还发现另一个可由网络内任何认证用户利用的DoS漏洞。

这些漏洞打破了"内部系统在未被完全攻陷前是安全的"这一常见假设，证明即使是最小的网络存在也可导致大规模运营故障。

Part04漏洞利用情况

研究人员发布了一套名为"Win-DoS Epidemic"的工具集，可利用这五个新漏洞。这些工具可远程崩溃任何未打补丁的Windows终端或服务器，或利用公共DC组建Win-DDoS僵尸网络。

这些发现凸显了企业重新评估威胁模型和安全态势的紧迫性，特别是针对DC等内部系统和服务。微软已针对LdapNightmare漏洞发布补丁，但新发现表明持续保持警惕和安全验证的必要性。

参考来源：

New ‘Win-DoS’ Zero-Click Vulnerabilities Turns Windows Servers/Endpoints, Domain Controllers Into DDoS Botnet

https://cybersecuritynews.com/win-dos-zero-click-vulnerabilities-turns-windows-domain-controllers-into-ddos-botnet/
电台讨论