Aug 10, 2025Ravie Lakshmananvulnerabilidad / Seguridad de la red Una nueva técnica de ataque podría ser armado para colocar miles de controladores de dominios públicos (DC) en todo el mundo para crear una botnet maliciosa y usarla para realizar ataques de negación de servicio distribuidos de poder (DDOS). El enfoque ha sido nombrado en código Win-DDOS por investigadores de SafeBreach o Yair y Shahak Morag, quienes presentaron sus hallazgos en la Conferencia de Seguridad Def Con 33 hoy. «Mientras exploramos las complejidades del código del cliente LDAP de Windows, descubrimos un defecto significativo que nos permitió manipular el proceso de referencia de URL para apuntar a DCS a un servidor de víctimas para abrumarlo», dijeron Yair y Morag en un informe compartido con las noticias de los hackers. «Como resultado, pudimos crear Win-DDOS, una técnica que permitiría a un atacante aprovechar el poder de decenas de miles de DC públicas en todo el mundo para crear una botnet maliciosa con grandes recursos y tasas de carga. Todo sin comprar nada y sin dejar una huella trazable». Al transformar DCS en un bot DDOS sin la necesidad de ejecución de código o credenciales, el ataque esencialmente convierte la plataforma de Windows en convertirse en la víctima y el arma. El flujo de ataque es el siguiente: el atacante envía una llamada RPC a DCS que los desencadena a convertirse en clientes CLDAP DCS Envía la solicitud CLDAP al servidor CLDAP del atacante, que luego devuelve una respuesta de referencia que refiere el servidor LDAP del atacante del atacante. Responde con una respuesta de referencia LDAP que contiene una larga lista de URL de referencia LDAP, todo lo cual apunta a un solo puerto en una sola dirección IP DCS envía una consulta LDAP en ese puerto, lo que provoca el servidor web que puede servir a través del puerto para cerrar el TCP «Una vez que la conexión TCP se atribuye, los DCS continúan con la siguiente derivación en la lista de la misma lista a la misma servidor a la misma servidor, lo que dice el mismo servidor.», Dicho la conexión. «. «Y este comportamiento se repite hasta que todas las URL en la lista de referencias terminan, creando nuestra innovadora técnica de ataque Win-DDOS». Lo que hace que Win-DDOS sea significativo es que tiene un alto ancho de banda y no requiere un atacante para comprar una infraestructura dedicada. Tampoco les requiere violar ningún dispositivo, lo que les permite volar bajo el radar. Un análisis posterior del proceso de referencia del código del cliente LDAP ha revelado que es posible activar un bloqueo de LSASS, reiniciar o una pantalla azul de muerte (BSOD) enviando largas listas de referencia a DC al aprovechar el hecho de que no hay límites en los tamaños de listas de referencias y las referencias no se lanzan desde la memoria de DC hasta que la información se recupere con éxito. Además de eso, se ha encontrado que el código de transporte agnóstico que se ejecuta a las solicitudes de los clientes del servidor alberga tres nuevas vulnerabilidades de denegación de servicio (DOS) que pueden bloquear los controladores de dominio sin la necesidad de autenticación, y una falla de DOS adicional que proporciona a cualquier usuario autenticado con la capacidad de bloquear un controlador de dominio o un computadora de Windows en un dominio. The identified shortcomings are listed below – CVE-2025-26673 (CVSS score: 7.5) – Uncontrolled resource consumption in Windows Lightweight Directory Access Protocol (LDAP) allows an unauthorized attacker to deny service over a network (Fixed in May 2025) CVE-2025-32724 (CVSS score: 7.5) – Uncontrolled resource consumption in Windows Local Security Authority El servicio del subsistema (LSASS) permite a un atacante no autorizado negar el servicio a través de una red (fijada en junio de 2025) CVE-2025-49716 (puntaje CVSS: 7.5)-Consumo de recursos no controlado en Windows Netlogon permite a un atacante no autorizado a negar el servicio a través de una red (fijo en julio 2025) CVE-2025-4972 (CVSS CVSS: 5. El consumo de recursos no controlado en los componentes de la bgas de impresión de Windows permite a un atacante autorizado negar el servicio a través de una red adyacente (fijada en julio de 2025), como las vulnerabilidad LDAPNightMare (CVE-2024-49113) detalladas a principios de enero, los últimos hallazgos muestran que existen lugares ciegos en Windows a las que podrían ser apuntadas y explojadas de operaciones empresariales. «Las vulnerabilidades que descubrimos son vulnerabilidades no autenticadas con clic cero que permiten a los atacantes bloquear estos sistemas de forma remota si son accesibles públicamente, y también muestran cómo los atacantes con un acceso mínimo a una red interna pueden desencadenar los mismos resultados contra la infraestructura privada», dijeron los investigadores. «Nuestros hallazgos rompen suposiciones comunes en el modelado de amenazas empresariales: que los riesgos de DOS solo se aplican a los servicios públicos, y que los sistemas internos están a salvo de abuso a menos que sean totalmente comprometidos. Las implicaciones para la resiliencia empresarial, el modelado de riesgos y las estrategias de defensa son significativas».