DEF CON 黑客大会披露新型零点击漏洞，Windows 域控制器变为 DDoS 僵尸网络

拉斯维加斯报道——在DEF CON 33安全大会上，黑客SafeBreach实验室的大会洞研究人员Yair和Shahak Morag披露了一类新型拒绝服务(DoS)攻击，命名为"Win-DoS Epidemic"
。披露

研究团队公布了四项新的新型Windows DoS漏洞和一项零点击分布式拒绝服务(DDoS)漏洞。这些漏洞均属于"不受控资源消耗"类型
，零点包括：

研究表明，攻击者可以崩溃任何Windows终端或服务器，制器包括关键域控制器(DC)，源码库网络甚至可以利用公共DC构建大规模DDoS僵尸网络。黑客

域控制器是大多数企业网络的骨干，负责处理身份验证并集中管理用户和资源
。披露针对DC的新型成功DoS攻击可使整个组织瘫痪，导致用户无法登录、零点访问资源或执行日常操作 。击漏僵尸

这项研究基于团队此前发现的LdapNightmare漏洞(CVE-2024-49113)，该漏洞是首个公开的Windows DC DoS利用方法
。云计算新发现将威胁范围从LDAP扩展到其他核心Windows服务。

最令人担忧的发现是被命名为Win-DDoS的新型攻击技术 。该技术利用了Windows LDAP客户端转介流程中的缺陷。研究人员发现，通过操纵这一流程 ，可以将DC重定向至目标服务器，并使其持续重复这一行为。

攻击者借此可调动全球数万台公共DC的巨大算力 ，将其转变为免费且无法追踪的模板下载大型DDoS僵尸网络。这种攻击无需特殊基础设施，也不会留下取证痕迹
，因为恶意活动源自被利用的DC而非攻击者设备。

研究人员还重点研究了远程过程调用(RPC)协议——Windows进程间通信的核心组件。Windows环境中的RPC服务器普遍存在，且通常具有较大攻击面，特别是那些无需认证的服务
 。

SafeBreach团队发现，通过滥用RPC绑定中的亿华云安全缺陷 ，可以从单一系统反复攻击同一RPC服务器，有效绕过标准并发限制 。该方法帮助他们发现了三个新的零点击、无需认证的DoS漏洞 ，可崩溃任何Windows系统(服务器和终端) 。他们还发现另一个可由网络内任何认证用户利用的DoS漏洞。

这些漏洞打破了"内部系统在未被完全攻陷前是安全的"这一常见假设
，证明即使是最小的服务器租用网络存在也可导致大规模运营故障。

研究人员发布了一套名为**"Win-DoS Epidemic"**的工具集，可利用这五个新漏洞。这些工具可远程崩溃任何未打补丁的Windows终端或服务器
，或利用公共DC组建Win-DDoS僵尸网络 。

这些发现凸显了企业重新评估威胁模型和安全态势的紧迫性，特别是针对DC等内部系统和服务。微软已针对LdapNightmare漏洞发布补丁，但新发现表明持续保持警惕和安全验证的必要性。

最新评论