DEF CON 黑客大会披露新型零点击漏洞，Windows 域控制器变为 DDoS 僵尸网络

拉斯维加斯报道——在DEF CON 33安全大会上 ，黑客SafeBreach实验室的大会洞研究人员Yair和Shahak Morag披露了一类新型拒绝服务(DoS)攻击，命名为"Win-DoS Epidemic" 。披露

研究团队公布了四项新的新型Windows DoS漏洞和一项零点击分布式拒绝服务(DDoS)漏洞。这些漏洞均属于"不受控资源消耗"类型，零点包括：

CVE-2025-26673 (CVSS 7.5分):Windows LDAP服务中的击漏僵尸高危DoS漏洞CVE-2025-32724 (CVSS 7.5分):Windows LSASS服务中的高危DoS漏洞CVE-2025-49716 (CVSS 7.5分):Windows Netlogon服务中的高危DoS漏洞CVE-2025-49722 (CVSS 5.7分):Windows打印后台处理程序中的中危DoS漏洞，需要相邻网络中的域控认证攻击者

研究表明，攻击者可以崩溃任何Windows终端或服务器，制器包括关键域控制器(DC) ，模板下载网络甚至可以利用公共DC构建大规模DDoS僵尸网络。黑客

域控制器DoS攻击的大会洞危害

域控制器是大多数企业网络的骨干，负责处理身份验证并集中管理用户和资源 。披露针对DC的新型成功DoS攻击可使整个组织瘫痪，导致用户无法登录 、零点访问资源或执行日常操作。击漏僵尸

这项研究基于团队此前发现的LdapNightmare漏洞(CVE-2024-49113) ，该漏洞是首个公开的Windows DC DoS利用方法。亿华云新发现将威胁范围从LDAP扩展到其他核心Windows服务 。

利用公共基础设施的新型僵尸网络

最令人担忧的发现是被命名为Win-DDoS的新型攻击技术。该技术利用了Windows LDAP客户端转介流程中的缺陷 。研究人员发现，通过操纵这一流程，可以将DC重定向至目标服务器，并使其持续重复这一行为 。

攻击者借此可调动全球数万台公共DC的巨大算力，将其转变为免费且无法追踪的服务器租用大型DDoS僵尸网络。这种攻击无需特殊基础设施，也不会留下取证痕迹，因为恶意活动源自被利用的DC而非攻击者设备。

滥用RPC协议导致系统崩溃

研究人员还重点研究了远程过程调用(RPC)协议——Windows进程间通信的核心组件 。Windows环境中的RPC服务器普遍存在，且通常具有较大攻击面 ，特别是那些无需认证的服务  。

SafeBreach团队发现 ，通过滥用RPC绑定中的高防服务器安全缺陷，可以从单一系统反复攻击同一RPC服务器，有效绕过标准并发限制
。该方法帮助他们发现了三个新的零点击 、无需认证的DoS漏洞，可崩溃任何Windows系统(服务器和终端)。他们还发现另一个可由网络内任何认证用户利用的DoS漏洞 。

这些漏洞打破了"内部系统在未被完全攻陷前是安全的"这一常见假设
，证明即使是最小的建站模板网络存在也可导致大规模运营故障。

研究人员发布了一套名为**"Win-DoS Epidemic"**的工具集，可利用这五个新漏洞。这些工具可远程崩溃任何未打补丁的Windows终端或服务器，或利用公共DC组建Win-DDoS僵尸网络。

这些发现凸显了企业重新评估威胁模型和安全态势的紧迫性，特别是针对DC等内部系统和服务  。微软已针对LdapNightmare漏洞发布补丁 ，但新发现表明持续保持警惕和安全验证的必要性。

云计算