LAS VEGAS-DEF Con 33 Güvenlik Konferansı’nda, SafeBreach Labs’tan araştırmacılar Yair ve Shahak Morag, “Win-Dos Salgın” olarak adlandırılan yeni bir hizmet reddi (DOS) saldırıları sınıfını açıkladılar.
İkili, dört yeni Windows DOS güvenlik açıkları ve bir sıfır tıkalı olarak dağıtılmış hizmet reddi (DDOS) kusurunu içeren bulgularını sundu.
Hepsi “kontrolsüz kaynak tüketimi” olarak kategorize edilen keşfedilen kusurlar şunları içerir:
- CVE-2025-26673 (CVSS 7.5): Windows LDAP’da yüksek şiddetli bir DOS güvenlik açığı.
- CVE-2025-32724 (CVSS 7.5): Windows LSASS’ta yüksek şiddetli bir DOS güvenlik açığı.
- CVE-2025-49716 (CVSS 7.5): Windows Netlogon’da yüksek şiddetli bir DOS güvenlik açığı.
- CVE-2025-49722 (CVSS 5.7): Bitişik bir ağda kimlik doğrulamalı bir saldırgan gerektiren Windows yazdırma makarasında orta-şiddetli bir DOS güvenlik açığı.
Araştırma, saldırganların kritik etki alanı denetleyicileri (DC’ler) dahil olmak üzere herhangi bir Windows uç noktasını veya sunucusunu nasıl çökertebileceğini ve hatta büyük bir DDOS botnet oluşturmak için kamu DC’lerini silahlandırabileceğini gösteriyor.
““ Win-Dos Salgını ”sunuyoruz-DOS TOULLARI ve bir Win-DDOS Zero-Click Vulns!
DOS’un etki alanı denetleyicileri üzerindeki tehlikeleri
Etki alanı denetleyicileri, çoğu organizasyonel ağın omurgasıdır, kimlik doğrulama ve kullanıcı ve kaynak yönetimini merkezileştirir.
Bir DC’ye karşı başarılı bir DOS saldırısı, tüm bir kuruluşu felç ederek kullanıcıların giriş yapmasını, kaynaklara erişmesini veya günlük işlemleri gerçekleştirmesini imkansız hale getirebilir.
Araştırmacıların çalışmaları, bir Windows DC için ilk kamu DOS istismarı olan önceki keşifleri olan LDAPnightMare güvenlik açığı (CVE-2024-49113) üzerine kuruludur. Yeni bulgular bu tehdidi önemli ölçüde genişleterek diğer temel pencereleri kötüye kullanmak için sadece LDAP’ın ötesine geçiyor.
Kamu altyapısını kullanan yeni bir botnet
En endişe verici keşif, araştırmacıların adlandırdığı yeni bir DDOS tekniğidir. Win-ddos. Bu saldırı, Windows LDAP istemcisinin sevk sürecindeki bir kusurdan yararlanır.
Normal bir işlemde, bir LDAP yönlendirmesi bir istemciyi bir isteği yerine getirmek için farklı bir sunucuya yönlendirir. Yair ve Morag, bu süreci manipüle ederek DC’leri bir kurban sunucusuna yönlendirebileceklerini keşfettiler ve çok önemli bir şekilde, DCS’yi bu yeniden yönlendirmeyi acımasızca tekrar etmelerini sağlamanın bir yolunu buldular.
Bu davranış, bir saldırganın dünya çapında on binlerce kamu DC’sinin muazzam gücünü kullanmasına izin vererek onları büyük, özgür ve izlenemez bir DDOS botnet’e dönüştürüyor.
Saldırı, özel bir altyapı gerektirmez ve kötü niyetli etkinlik, saldırganın makinesinden değil, tehlikeye atılan DC’lerden kaynaklandığından adli bir iz bırakmaz.
Bu teknik, bir botnet kurma ve sürdürme ile ilişkili tipik maliyetler veya riskler olmadan yüksek bant genişliği, yüksek hacimli saldırılara izin verdiği için DDOS saldırılarında önemli bir değişimi temsil eder.
Sistem çökmeleri için RPC’yi kötüye kullanma
DDOS BotNet’e ek olarak, araştırmacılar, işlemler arası iletişim için pencerelerin temel bir bileşeni olan uzaktan prosedür çağrısı (RPC) protokolüne odaklandılar.
RPC sunucuları Windows ortamında her yerde bulunur ve genellikle geniş saldırı yüzeylerine, özellikle kimlik doğrulaması gerektirmeyenlere sahiptir.
Safe Breach ekibi, RPC bağlamalarındaki güvenlik boşluklarını kötüye kullanarak, aynı RPC sunucusunu tek bir sistemden tekrar tekrar vurabileceklerini ve standart eşzamanlılık sınırlarını etkili bir şekilde atlayabileceklerini buldu.
Bu yöntem, herhangi bir Windows sistemini (hem de ve uç noktalar) çarpabilecek üç yeni sıfır tıkaç, kimlik doğrulanmamış DOS güvenlik açıklarını keşfetmelerine izin verdi.
Ayrıca, ağdaki kimlik doğrulamalı kullanıcı tarafından kullanılabilecek başka bir DOS kusuru buldular.
Bu güvenlik açıkları, iç sistemlerin tam bir uzlaşma olmadan kötüye kullanımdan korunduğu yaygın varsayımları kırar ve bir ağda minimum bir varlığın bile yaygın operasyonel başarısızlığa neden olmak için kullanılabileceğini gösterir.
Araştırmacılar, toplu olarak adlandırılan bir dizi araç yayınladılar. “Win-Dos Salgın,” Bu beş yeni güvenlik açıklarından yararlanan. Araçlar, herhangi bir Windows uç noktasını veya sunucusunu uzaktan kilitlemek veya kamu DC’lerini kullanarak bir Win-DDOS botnet düzenlemek için kullanılabilir.
Bu bulgular, kuruluşların tehdit modellerini ve güvenlik duruşlarını yeniden değerlendirmeleri için, özellikle DC’ler gibi iç sistemler ve hizmetler konusunda kritik ihtiyacın altını çizmektedir.
Microsoft o zamandan beri LDAPnightMare güvenlik açığı için yamalar yayınladı, ancak yeni keşifler devam eden uyanıklık ve sürekli güvenlik doğrulaması ihtiyacını vurguluyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!