Güvenlik araştırmacıları, binlerce Microsoft Windows Domain denetleyicisini (DC’leri) sessizce küresel bir botnet’e dönüştürebilen bir “sıfır tıkaç” hizmet reddi zincirini ortaya çıkardılar ve bir yıl içinde rekor kıran dağıtılmış hizmet (DDOS) etkinliği ile tanımlanmış bir yıl içinde yeni alarmlar yükseltti.
DDOS saldırıları, Gcore’un son radar raporuna göre 2014’ün sonlarında yıllık% 56 arttı ve Cloudflare’nin ağı, şimdiye kadarki en büyük açıklanan 2025’te 7.3 Tbps’de tek selleri engelledi.
Ortalama kesinti dakikası şu anda yaklaşık 6.000 dolara mal oluyor ve küçük ve orta ölçekli firmalar için tipik olaylar 400.000 doları aşıyor, savunucular yeni sömürü teknikleri ortaya çıkmadan önce bile montaj baskısı ile karşı karşıya.
Win-Dos’un sıfır tıkalı istismarı
Sıfır tıkanık bir istismar, kullanıcı etkileşimi olmadan yürütülür, tipik olarak güvenilmeyen verileri otomatik olarak ayrıştıran yazılımı kötüye kullanır.
SafeBreach Labs’ın yeni araştırmaları, Windows’un kendi hafif dizin erişim protokolü (LDAP) istemcisinin, sonsuz LDAP yönlendirmeleri aracılığıyla herhangi bir kurban sunucusunda DC’leri gösteren bir saldırı akışı olan “Win-DDOS” oluşturmak için hazırlanmış bir RPC çağrısı aracılığıyla nasıl kaçırılabileceğini gösteriyor.
Her yönlendirme otomatik olarak kovalandığından, dünya çapında binlerce DC, farkında olmadan TCP trafiği ile bir hedefi çekebilir – kötü amaçlı yazılım, kimlik bilgileri veya yanal hareket gerekmez.
| CVE | Bileşen | Gereken ayrıcalıklar | Etki | Yama ayı |
|---|---|---|---|---|
| CVE-2025-32724 | LSASS (LDAP istemcisi) | Hiçbiri | Bellek Tükenmesi / DC Kazası | Haziran 2025 |
| CVE-2025-26673 | Netlogon (RPC) | Hiçbiri | Torpidos hafıza kazası | Mayıs 2025 |
| CVE-2025-49716 | Netlogon (RPC) | Hiçbiri | Vatansız RPC DOS | Temmuz 2025 |
| CVE-2025-49722 | Baskı Makarısı (RPC) | Kimliği doğrulanmış kullanıcı | Herhangi bir Windows uç noktası çökmesi | Temmuz 2025 |
SafeBreach ayrıca iki tekniği de silahlandırdı:
- Win-ddos -Kamu DC’lerini bant genişliği açısından zengin botnetlere takmak için sınırsız LDAP yönlendirmelerini kötüye kullanır.
- Torpido -Tek bir dizüstü bilgisayarın binlerce bağlantıyı açmasını ve DDOS’a yakın kuvvetli bir sunucuyu bunaltmasını sağlayan RPC bağlama ve yük dağıtımını bölüyor.
Etki alanı denetleyicileri kurumsal kimliğin temel taşlarıdır. Onları çevrimdışı devirmek, oturum açmayı dondurabilir, iş süreçlerini durdurabilir ve sakat kurtarma.
Sadece dahili DC’ler bile duyarlıdır; Minimum ağ erişimi kazanan bir saldırgan, makineleri harici kurbanlara yönlendirebilir veya sadece onları çökertebilir ve hizmet reddinin “internet kenarındaki bir problem” olduğu varsayımını devirebilir.
Kusurlar ayrıca derin mimari kör noktaları ortaya çıkarır. LDAP istemcisinin sevk mantığı, liste boyutuna sınır koymaz ve tamamlanana kadar girişleri bellekte tutarken, birkaç RPC arayüzü çağrı başına sınırsız tahsislere izin verir.
Onlarca yıldır değişmeyen bu tasarım seçenekleri, şimdi modern Windows filolarına karşı “tek paket” öldürme anahtarları sunuyor.
SafeBreach, Mart 2025’te hataları özel olarak Microsoft’a bildirdi. Dört CVE’nin tümü Haziran ve Temmuz Yaması Salı yayınları boyunca ele alındı ve yöneticilerin hemen yamalar uygulaması ve DC’lerin İnternet’e maruz kalmadığını doğruladıkları isteniyor.
Yama gecikmeleri burada, Microsoft gereksiz CLDAP/RPC maruziyetini devre dışı bırakılmasını ve sevk trafiğinde hız sınırlamasının uygulanmasını önerir.
Win-Dos, saldırganların kaçırılmış IoT cihazlarından, meşru sunucuları amplifikasyon için kötüye kullanan “kesintiye uğratma” stratejilerine döndüğü için gelir. Teknik kötü amaçlı yazılım izi bırakmadığından, geleneksel uç nokta algılama çok az yardım sunar.
Analistler, bir devlet oyuncusunun bir ülkedeki DC’leri kritik altyapıyı başka bir ülkede doldurmaya yönlendirebileceği konusunda uyarıyor ve ilişkilendirme ve yanıtı karmaşıklaştırıyor.
DDOS hacimleri ve maliyetleri zaten tüm zamanların en yüksek seviyelerinde, sıfır tıkaç, günde trilyonlarca pakete mal yazılımı yolunun keşfi, çok önemli bir anı işaret ediyor.
İşletmeler, DC’leri tamamen savunma varlıkları olarak ele alan ve DOS sertleşmesi, trafik sınırları, RPC izleme ve agresif yama yönetimi ekleyen tehdit modellerini yeniden ziyaret etmelidir. Bunun yapılmaması, pencerelerin kendisinin bir sonraki büyük botnet olmasına izin verme riskleri.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!