Les chercheurs de SafeBreach montrent comment les attaquants peuvent écraser les contrôleurs de domaine Windows et construire un botnet en utilisant des vulnérabilités RPC et LDAP non authentifiées.
À DEF CON 33, les chercheurs en sécurité ont démontré une nouvelle technique de déni de service distribuée à l’aide de contrôleurs de domaine Windows (DC) armées, ainsi qu’un ensemble de vulnérabilités en clic zéro affectant les services Windows.
Surnommée «Win-DDOS», la stratégie d’attaque implique des contrôleurs de domaine à distance en cas de déclin ou d’autres points de terminaison Windows sur les réseaux internes, en utilisant le cadre de procédure distante (RPC).
« Nous avons découvert une nouvelle technique DDOS qui pourrait être utilisée pour créer un botnet malveillant tirant parti des CD publics, trois nouvelles vulnérabilités DOS qui offrent la possibilité de planter des DC sans avoir besoin d’authentification, et une nouvelle vulnérabilité DOS qui offre à tout utilisateur authentifié la possibilité de casser un ordinateur DC ou Windows dans un domaine », a déclaré des chercheurs de Safebere dans un article de blog.
La découverte a fait partie d’une recherche de suivi sur une vulnérabilité RCE (LDAP) de répertoire léger Windows (LDAP) Vulnérabilité, LDAPnightMare, pour laquelle SafeBreach Labs avait publié le premier exploit POC en janvier.
Les attaquants peuvent cibler les angles morts côté client
Montrant comment la confiance intégrée dans les composants côté client peut être abusée, Win-DDOS manipule le mécanisme de référence LDAP pour rediriger les DC pour envoyer des demandes répétées à un point d’évaluation contrôlé par victime, inondant l’objectif de trafic réseau involontaire.
Selon les chercheurs, un angle mort dans le code client, le service dans les contrôleurs de domaine qui gère la logique côté client lors du traitement des références LDAP ou d’autres interactions RPC.
« Le code client s’attend à ce que le serveur ait été choisi par le client et, par conséquent, le serveur et les informations qu’il renvoie est généralement fiable », ont déclaré les chercheurs. « Par conséquent, si le code client peut être déclenché à distance pour interagir avec un serveur contrôlé par l’attaquant, nous avons le code client distant qui nous fait plus confiance que le code du serveur distant ne le ferait probablement. »
En utilisant la vulnérabilité LDAPnightMare, suivi comme CVE-2024-49113, les chercheurs ont pu créer la technique Win-DDOS qui permettrait aux attaquants de compromettre des dizaines de milliers de CD publics dans le monde entier pour créer un botnet avec de vastes ressources et des taux de téléchargement « .
De plus, le processus de référence du code client LDAP n’a pas de limites sur les tailles de liste (CVE-2025-32724) et a libéré la mémoire uniquement après l’achèvement, permettant à un attaquant non authentifié d’envoyer des listes surdimensionnées qui ont écrasé les Windows LSASS et ont déclenché un écran bleu (BSOD), provoquant un déni de service.
La recherche a révélé plus de défauts DOS
Les chercheurs de SafeBreach ont également découvert le CVE-2025-26673 dans le service Netlogon de DC, où des appels RPC conçus pourraient écraser le service à distance sans authentification. En exploitant cette faiblesse, les attaquants pourraient éliminer un composant d’authentification Windows critique, pour verrouiller potentiellement les utilisateurs des ressources de domaine jusqu’à ce que le système soit redémarré. De même, CVE-2025-49716 cible le service de sous-système de l’autorité de sécurité locale de Windows (LSASS), permettant à un attaquant distant d’envoyer des requêtes LDAP spécialement formées qui déstabilisent le service, conduisant à des DO immédiats sur l’hôte affecté.
La liste de SafeBreach est le CVE-2025-49722, une faille DOS dans Windows Print Spooler. Ce bogue peut être déclenché en envoyant des demandes de RPC mal formées qui font échouer le processus de spouleur, d’interrompant les opérations d’impression et, dans certains cas, un impact sur une stabilité du système plus large.
