資安研究人員發現一種名為「Win-DDoS」的新型攻擊技術,能夠將全球數萬台公開的Windows網域控制器(Domain Controller)轉化為惡意殭屍網路,用於發動大規模分散式阻斷服務(DDoS)攻擊。
SafeBreach的研究人員Or Yair與Shahak Morag在DEF CON 33會議上展示了這項發現。
Win-DDoS攻擊利用Windows LDAP用戶端程式碼中的重大缺陷,透過操控URL轉介流程,將網域控制器指向受害者伺服器。
攻擊流程如下:
- 攻擊者向網域控制器發送RPC呼叫,觸發其成為CLDAP客戶端
- 網域控制器向攻擊者的CLDAP伺服器發送請求,收到轉介回應後切換至TCP連線
- 攻擊者的LDAP伺服器回應包含大量LDAP轉介URL的清單,全部指向同一IP位址的單一連接埠
- 網域控制器持續向目標連接埠發送LDAP查詢,造成受害伺服器關閉TCP連線
研究人員解釋,一旦TCP連線中斷,網域控制器會繼續處理清單中的下一個轉介URL,而這些URL都指向同一台伺服器,這個行為會持續重複直到處理完所有URL,形成創新的Win-DDoS攻擊技術。
攻擊特點與威脅
Win-DDoS攻擊手法展現出前所未見的威脅規模與隱蔽性。這種攻擊技術最令人擔憂的特點在於,攻擊者能夠操控全球數萬台公開網域控制器作為攻擊節點,形成龐大的殭屍網路。由於企業級網域控制器通常配備高速網路連線與強大運算資源,因此能夠產生極為強大的攻擊流量與巨大的上傳速率,遠超過傳統殭屍網路的威力。
更令資安專家憂心的是,Win-DDoS攻擊完全顛覆了傳統的攻擊成本結構。攻擊者無需購買或租用任何專用攻擊設備,也不必投入大量資金建置攻擊基礎設施,就能夠發動規模龐大的DDoS攻擊。同時,由於整個攻擊過程不會在攻擊者系統上留下可追蹤的數位足跡,加上無需入侵或感染任何目標系統,使得攻擊來源極難被追蹤與定位。
從技術角度來看,Win-DDoS攻擊屬於零點擊攻擊類型,無需使用者互動或任何形式的認證即可執行。攻擊者不必在目標網域控制器上執行惡意程式碼,也不需要取得任何有效的登入憑證,就能夠將Windows平台同時變成受害者與攻擊武器。這種攻擊流量偽裝成正常的LDAP查詢請求,讓傳統的防火牆與入侵偵測系統難以識別與阻擋。
Win-DDoS攻擊對系統穩定性造成的威脅同樣不容小覷。攻擊者可以透過發送超長的轉介清單來消耗網域控制器的堆積記憶體,由於Windows對轉介清單大小沒有設定限制,且這些轉介資料在成功取得資訊前不會從記憶體中釋放,因此可能導致記憶體持續耗盡。更嚴重的是,這種攻擊手法可能觸發LSASS程序當機、強制系統重新啟動,甚至造成藍屏死機,對企業營運造成嚴重衝擊。
對於企業而言,Win-DDoS攻擊的影響範圍極為廣泛。由於網域控制器是企業Active Directory環境的核心基礎設施,一旦遭受攻擊可能導致整個網域服務癱瘓,進而影響使用者登入、權限驗證等核心功能。這種連鎖反應可能導致依賴AD服務的其他應用系統同步發生故障,對業務持續性造成重大威脅。
此外,
研究人員還發現可透過發送超長轉介清單來觸發LSASS當機、系統重新啟動或藍屏死機(BSoD),因為Windows對轉介清單大小沒有限制,且轉介資料在成功取得資訊前不會從記憶體中釋放。
相關漏洞與修補狀況
研究中發現四個新的阻斷服務漏洞:
- CVE-2025-26673(CVSS: 7.5):Windows LDAP資源消耗漏洞(2025年5月修補)
- CVE-2025-32724(CVSS: 7.5):Windows LSASS資源消耗漏洞(2025年6月修補)
- CVE-2025-49716(CVSS: 7.5):Windows Netlogon資源消耗漏洞(2025年7月修補)
- CVE-2025-49722(CVSS: 5.7):Windows列印多工緩衝處理元件資源消耗漏洞(2025年7月修補)
SafeBreach團隊還展示了名為「TorpeDoS」的新型DoS技術,能夠從單一電腦產生相當於數萬台電腦DDoS攻擊的影響力。這項技術透過大幅提升RPC呼叫效率來實現高破壞力攻擊。
研究人員指出,Win-DDoS、TorpeDo打破了企業威脅建模的常見假設:DoS風險只適用於公開服務,內部系統除非完全被攻破否則是安全的。這對企業韌性、風險建模和防禦策略具有重大意義。
本文轉載自thehackernews。