Se podría armarse una nueva técnica de ataque para colocar miles de controladores de dominios públicos (DC) en todo el mundo para crear una botnet maliciosa y usarla para realizar ataques de negación de servicio (DDoS) distribuidos de potencia.
El enfoque ha sido nombrado en código Win-DDOS por investigadores de SafeBreach o Yair y Shahak Morag, quienes presentaron sus hallazgos en la Conferencia de Seguridad Def Con 33 hoy.
«Mientras exploramos las complejidades del código del cliente LDAP de Windows, descubrimos un defecto significativo que nos permitió manipular el proceso de referencia de URL para apuntar a DCS a un servidor de víctimas para abrumarlo», dijeron Yair y Morag en un informe compartido con las noticias de los hackers.
«Como resultado, pudimos crear Win-DDOS, una técnica que permitiría a un atacante aprovechar el poder de decenas de miles de DC públicas en todo el mundo para crear una botnet maliciosa con grandes recursos y tasas de carga. Todo sin comprar nada y sin dejar una huella trazable».
Al transformar DCS en un bot DDOS sin la necesidad de ejecución de código o credenciales, el ataque esencialmente convierte la plataforma de Windows en convertirse en la víctima y el arma. El flujo de ataque es el siguiente –
- El atacante envía una llamada RPC a DCS que los desencadena para convertirse en clientes de CLDAP
- DCS Envíe la solicitud CLDAP al servidor CLDAP del atacante, que luego devuelve una respuesta de referencia que refiere el DCS al servidor LDAP del atacante para cambiar de UDP a TCP
- DCS luego envíe la consulta LDAP al servidor LDAP del atacante a través de TCP
- El servidor LDAP del atacante responde con una respuesta de referencia LDAP que contiene una larga lista de URL de referencia LDAP, todo lo cual apunta a un solo puerto en una sola dirección IP
- DCS envía una consulta LDAP en ese puerto, lo que hace que el servidor web que se pueda servir a través del puerto cierre la conexión TCP
«Una vez que se aborta la conexión TCP, el DCS continúa con la siguiente referencia en la lista, que apunta nuevamente al mismo servidor», dijeron los investigadores. «Y este comportamiento se repite hasta que todas las URL en la lista de referencias terminan, creando nuestra innovadora técnica de ataque Win-DDOS».
Lo que hace que Win-DDOS sea significativo es que tiene un alto ancho de banda y no requiere un atacante para comprar una infraestructura dedicada. Tampoco les requiere violar ningún dispositivo, lo que les permite volar bajo el radar.
https://www.youtube.com/watch?v=itqhjh-5xmy
Un análisis posterior del proceso de referencia del código del cliente LDAP ha revelado que es posible activar un bloqueo de LSASS, reiniciar o una pantalla azul de muerte (BSOD) enviando largas listas de referencia a DC al aprovechar el hecho de que no hay límites en los tamaños de listas de referencias y las referencias no se lanzan desde la memoria de DC hasta que la información se recupere con éxito.
Además de eso, se ha encontrado que el código de transporte agnóstico que se ejecuta a las solicitudes de los clientes del servidor alberga tres nuevas vulnerabilidades de denegación de servicio (DOS) que pueden bloquear los controladores de dominio sin la necesidad de autenticación, y una falla de DOS adicional que proporciona a cualquier usuario autenticado con la capacidad de bloquear un controlador de dominio o un computadora de Windows en un dominio.
Las deficiencias identificadas se enumeran a continuación –
- CVE-2025-26673 (Puntuación CVSS: 7.5) – El consumo de recursos no controlado en el Protocolo de acceso de directorio ligero de Windows (LDAP) permite que un atacante no autorizado denegar el servicio a través de una red (fijado en mayo de 2025)
- CVE-2025-32724 (Puntuación CVSS: 7.5) – El consumo de recursos no controlado en el Servicio del Subsistema de la Autoridad de Seguridad Local de Windows (LSASS) permite a un atacante no autorizado negar el servicio a través de una red (fijado en junio de 2025)
- CVE-2025-49716 (Puntuación de CVSS: 7.5) – El consumo de recursos no controlado en Windows NetLogon permite a un atacante no autorizado negar el servicio a través de una red (fijado en julio de 2025)
- CVE-2025-49722 (Puntuación CVSS: 5.7) – Consumo de recursos no controlados en los componentes de la columna de impresión de Windows permite a un atacante autorizado negar el servicio a través de una red adyacente (fijado en julio de 2025)
Al igual que la vulnerabilidad de LDAPNightmare (CVE-2024-49113) detallada a principios de enero, los últimos hallazgos muestran que existen puntos ciegos en ventanas que podrían ser dirigidos y explotados, paralizando las operaciones comerciales.
«Las vulnerabilidades que descubrimos son vulnerabilidades no autenticadas con clic cero que permiten a los atacantes bloquear estos sistemas de forma remota si son accesibles públicamente, y también muestran cómo los atacantes con un acceso mínimo a una red interna pueden desencadenar los mismos resultados contra la infraestructura privada», dijeron los investigadores.
«Nuestros hallazgos rompen suposiciones comunes en el modelado de amenazas empresariales: que los riesgos de DOS solo se aplican a los servicios públicos, y que los sistemas internos están a salvo de abuso a menos que sean totalmente comprometidos. Las implicaciones para la resiliencia empresarial, el modelado de riesgos y las estrategias de defensa son significativas».