Win-DDoS攻擊：一種全新的DDoS殭屍網路威脅

在網路安全領域，分散式阻斷服務（DDoS）攻擊一直是企業和組織面臨的重大威脅。然而，一項由資安公司SafeBreach的研究人員Or Yair和Shahak Morag所揭露的全新攻擊技術，正在重新定義DDoS攻擊的模式，並為網路世界帶來了新的挑戰。這項被命名為「Win-DDoS」的攻擊，其獨特之處在於它能夠將數千個公用網域控制器（Domain Controllers, DCs）轉變為一個惡意的殭屍網路（botnet），無需攻擊者擁有任何憑證或進行程式碼執行，就能發起破壞力強大的DDoS攻擊。

這項驚人的研究成果是在知名的DEF CON 33資安會議上發表的。研究人員指出，Win-DDoS攻擊的核心是利用微軟Windows中輕量級目錄存取協定（CLDAP）客戶端程式碼的一個重大缺陷。這個缺陷允許攻擊者透過操縱URL參考（referral）的過程，來讓這些無辜的網域控制器成為攻擊的幫兇，進而癱瘓受害者的伺服器。

攻擊流程與技術細節

Win-DDoS的攻擊流程相當精巧且隱蔽。整個攻擊鏈始於一個遠端程序呼叫（RPC）指令。攻擊者向公用網域控制器發送一個特定的RPC呼叫，這個呼叫會觸發網域控制器成為一個CLDAP客戶端。接著，網域控制器會向攻擊者所控制的伺服器發送一個CLDAP請求。

攻擊者的伺服器在接收到這個請求後，並不會直接提供服務，而是回應一個惡意的URL參考清單。這個清單中包含了大量的LDAP URL，但它們都指向一個共同的目標：受害者伺服器的單一IP位址和埠號。網域控制器在接收到這個清單後，便會開始逐一向清單中的URL發送LDAP查詢。由於這些查詢都導向同一個受害者伺服器，當網域控制器發送查詢時，受害者伺服器會因為無法處理如此龐大的查詢量而被迫中止TCP連線。

當TCP連線被中斷後，網域控制器會自動從清單中提取下一個URL，並重複上述的查詢和中斷過程。這就形成了一個無休止的循環，使得成千上萬個網域控制器持續不斷地向受害者發送攻擊流量，最終造成受害者的伺服器癱瘓。

Win-DDoS的威脅特點

Win-DDoS攻擊之所以如此危險，有幾個關鍵原因：

1. 高頻寬與規模效應：攻擊者可以利用全球數千個公用網域控制器，產生巨大的攻擊流量。這意味著攻擊者無需擁有自己的DDoS殭屍網路，也不必花費大量成本購買基礎設施，就能發動大規模攻擊。
2. 無需憑證與零點擊：攻擊者發動Win-DDoS攻擊時，不需要入侵任何設備，也不需要任何有效的用戶憑證。這讓攻擊的門檻大幅降低，且難以被傳統的安全防護措施偵測。研究人員指出，其中的一些漏洞甚至屬於「零點擊」（zero-click）類型，這意味著用戶無需點擊任何連結或開啟任何檔案，就能成為攻擊的受害者。
3. 附帶的DoS攻擊：在深入分析LDAP客戶端程式碼後，研究人員還發現了另外幾個漏洞。例如，當網域控制器收到一個超長的URL參考清單時，可能會因為無法及時釋放堆積記憶體，進而導致LSASS服務崩潰、系統重啟甚至出現藍屏死機（BSoD）。這些漏洞本身也構成了一種嚴重的阻斷服務（DoS）攻擊。

相關漏洞與CVSS評分

研究人員共發現了四個與Win-DDoS攻擊相關的漏洞，並已獲得CVE編號：

• CVE-2025-26673：CVSS評分為7.5，屬於零點擊、無驗證的DoS漏洞。
• CVE-2025-32724：CVSS評分為7.5，屬於零點擊、無驗證的DoS漏洞。
• CVE-2025-49716：CVSS評分為7.5，屬於零點擊、無驗證的DoS漏洞。
• CVE-2025-49722：CVSS評分為5.7，屬於一個需要驗證的DoS漏洞，可讓任何已驗證用戶導致網域控制器或Windows電腦崩潰。

對企業與資安領域的啟示

這項發現對企業的資安防護與威脅建模產生了深遠的影響。傳統的威脅模型往往假設，只要內部系統沒有被完全攻破，它們就是相對安全的。然而，Win-DDoS攻擊證明了這個假設是錯誤的。即使內部系統本身沒有被入侵，其內在的漏洞依然可能被外部攻擊者所利用，將其轉變為攻擊武器。

這也再次強調了修補程式管理的重要性。企業必須定期更新其Windows系統，特別是網域控制器等關鍵基礎設施。此外，防火牆和入侵偵測系統也需要升級，以能夠偵測和阻擋來自這些惡意CLDAP或RPC呼叫的流量。

總體而言，Win-DDoS攻擊是一種創新且極具破壞力的攻擊手法。它不僅挑戰了我們對網路安全的傳統認知，也為企業和資安研究人員提供了新的研究方向。在未來的資安防護中，我們必須更全面地考慮內部系統被濫用的風險，並持續強化我們的防禦策略，以應對不斷演變的網路威脅。

資料來源：https://thehackernews.com/2025/08/new-win-ddos-flaws-let-attackers-turn.html