Kötü niyetli bir botnet oluşturmak ve güç dağıtılmış hizmet reddi (DDOS) saldırıları yapmak için kullanılmak üzere dünyanın dört bir yanındaki binlerce kamu malı denetleyicisini (DC’ler) halatlamak için yeni bir saldırı tekniği silahlandırılabilir.
Yaklaşım, Bulgularını bugün DEF Con 33 Güvenlik Konferansı’nda sunan SafeBreach Araştırmacılar veya Yair ve Shahak Morag tarafından Win-DDO’lar olarak adlandırıldı.
Yair ve Morag, Hacker News ile paylaşılan bir raporda, “Windows LDAP istemci kodunun karmaşıklıklarını araştırdığımız için, bir kurban sunucusundaki DC’leri ezmek için işaret etmek için URL sevk sürecini manipüle etmemize izin veren önemli bir kusur keşfettik.” Dedi.
“Sonuç olarak, bir saldırganın dünya çapında on binlerce kamu DC’sinin gücünden yararlanmasını sağlayacak bir teknik olan Win-DDO’lar oluşturabildik.
DC’leri kod yürütme veya kimlik bilgilerine ihtiyaç duymadan bir DDOS botuna dönüştürürken, saldırı esasen Windows platformunu hem kurban hem de silah haline getirir. Saldırı akışı aşağıdaki gibidir –
- Saldırgan, DCS’ye CLDAP müşterileri olmalarını tetikleyen bir RPC çağrısı gönderir
- DCS, CLDAP isteğini saldırganın CLDAP sunucusuna gönderir ve daha sonra UDP’den TCP’ye geçiş yapmak için DCS’yi saldırganın LDAP sunucusuna atıfta bulunan bir yönlendirme yanıtı döndürür
- DCS daha sonra LDAP sorgusunu TCP üzerinden saldırganın LDAP sunucusuna gönderin
- Saldırgan’ın LDAP Sunucusu, hepsi tek bir IP adresinde tek bir bağlantı noktasına işaret eden uzun bir LDAP yönlendirme URL’leri listesini içeren bir LDAP yönlendirme yanıtı ile yanıt verir
- DCS, o bağlantı noktasına bir LDAP sorgusu gönderin ve bağlantı noktası üzerinden sunulan web sunucusunun TCP bağlantısını kapatması için neden
Araştırmacılar, “TCP bağlantısı iptal edildikten sonra, DCS listedeki bir sonraki yönlendirmeye devam ediyor ve bu da aynı sunucuyu tekrar gösteriyor.” Dedi. Diyerek şöyle devam etti: “Ve bu davranış, sevk listesindeki tüm URL’ler bitene kadar kendini tekrar ediyor ve yenilikçi Win-DDOS saldırı tekniğimizi yaratıyor.”
Win-DDO’ları önemli kılan şey, yüksek bant genişliğine sahip olması ve bir saldırganın özel altyapı satın almasını gerektirmemesidir. Ayrıca, herhangi bir cihazı ihlal etmelerini gerektirmez, böylece radarın altında uçmalarına izin verir.
https://www.youtube.com/watch?v=itqhjh-5xmy
LDAP istemci kodu sevk sürecinin daha fazla analizi, sevk listesi boyutlarında ve sevklerin, bilgi başarılı bir şekilde alınana kadar DC’nin yığın bellesinden yayınlanmadığı gerçeğinden yararlanarak DCS’ye uzun seviye sevk listeleri göndererek bir LSASS çöküşünü, yeniden başlatmayı veya mavi bir ölüm ekranını (BSOD) tetiklemenin mümkün olduğunu ortaya koymuştur.
Bunun üzerine, sunucu istemcisi isteklerine yürütülen aktarım-agnostik kodun, kimlik doğrulamasına ihtiyaç duymadan etki alanı denetleyicilerini çarpabilen üç yeni hizmet reddi (DOS) güvenlik açıklarını barındırdığı bulunmuştur ve kimlik doğrulamalı kullanıcıya bir etki alanı denetleyicisini veya pencereleri bir domanda çarpma yeteneği sağlayan bir ek DOS kusuru.
Belirlenen eksiklikler aşağıda listelenmiştir –
- CVE-2025-26673 (CVSS Puanı: 7.5) – Windows Hafif Dizin Erişim Protokolünde (LDAP) kontrolsüz kaynak tüketimi, yetkisiz bir saldırganın bir ağ üzerinden hizmeti reddetmesine izin verir (Mayıs 2025’te sabit)
- CVE-2025-32724 (CVSS Puanı: 7.5) – Windows Yerel Güvenlik İdaresi Alt Sistemi Hizmetinde (LSASS) kontrolsüz kaynak tüketimi, yetkisiz bir saldırganın bir ağ üzerinden hizmeti reddetmesine izin verir (Haziran 2025’te sabit)
- CVE-2025-49716 (CVSS Puanı: 7.5) – Windows Netlogon’daki kontrolsüz kaynak tüketimi, yetkisiz bir saldırganın bir ağ üzerinden hizmeti reddetmesine izin verir (Temmuz 2025’te sabittir)
- CVE-2025-49722 (CVSS Puanı: 5.7) – Windows Baskı Makarası bileşenlerinde kontrolsüz kaynak tüketimi, yetkili bir saldırganın bitişik bir ağ üzerinden hizmeti reddetmesine izin verir (Temmuz 2025’te sabit)
Bu Ocak ayının başlarında detaylandırılan LDAPnightMare (CVE-2024-49113) güvenlik açığı gibi, son bulgular pencerelerde hedeflenebilecek ve sömürülebilen, iş operasyonlarını sakatlayabilecek kör noktalar olduğunu gösteriyor.
Araştırmacılar, “Keşfettiğimiz güvenlik açıkları, saldırganların halka açık bir şekilde erişilebilirse bu sistemleri uzaktan çökertmesine izin veren sıfır tıkaç, yetkili olmayan güvenlik açıklarıdır ve ayrıca iç ağa minimum erişimi olan saldırganların özel altyapıya karşı aynı sonuçları nasıl tetikleyebileceğini gösteriyor.” Dedi.
“Bulgularımız kurumsal tehdit modellemesinde yaygın varsayımları kırıyor: DOS risklerinin sadece kamu hizmetleri için geçerli olduğu ve iç sistemlerin tamamen tehlikeye atılmadıkça kötüye kullanımdan güvende olduğunu. Kurumsal esneklik, risk modelleme ve savunma stratejileri için sonuçlar önemlidir.”