في عالم الأمن السيبراني المتطور، تظهر ثغرات جديدة تهدد البنية التحتية للشبكات. واحدة من هذه الثغرات هي Win-DDoS، التي تم اكتشافها مؤخرًا.
ثغرات جديدة في Win-DDoS تسمح للمهاجمين بتحويل وحدات التحكم في المجال العامة إلى شبكة بوت DDoS عبر RPC و LDAP
تقنية هجوم جديدة يمكن تسخيرها لجمع آلاف وحدات التحكم في المجال العامة (DCs) حول العالم لإنشاء شبكة بوت ضارة واستخدامها لتنفيذ هجمات حرمان الخدمة الموزعة (DDoS) القوية.
تمت تسمية هذه الطريقة بـ Win-DDoS من قبل باحثي SafeBreach أور يائير وشاحاك مورا، الذين قدموا نتائجهم في مؤتمر DEF CON 33 للأمن اليوم.
“بينما استكشفنا تفاصيل كود عميل LDAP في ويندوز، اكتشفنا ثغرة كبيرة سمحت لنا بالتلاعب بعملية إحالة URL لتوجيه وحدات التحكم في المجال إلى خادم ضحية لإغراقه”، قال يائير ومورا في تقرير تم مشاركته مع The Hacker News.
“نتيجة لذلك، تمكنا من إنشاء Win-DDoS، وهي تقنية تتيح للمهاجم استغلال قوة عشرات الآلاف من وحدات التحكم في المجال العامة حول العالم لإنشاء شبكة بوت ضارة بموارد وسرعات تحميل هائلة. وكل ذلك دون الحاجة لشراء أي شيء ودون ترك أثر يمكن تتبعه.”
كيف تعمل تقنية Win-DDoS
في تحويل وحدات التحكم في المجال إلى بوت DDoS دون الحاجة إلى تنفيذ كود أو بيانات اعتماد، يقوم الهجوم بتحويل منصة ويندوز إلى ضحية وسلاح في آن واحد. يتدفق الهجوم كما يلي:
- يرسل المهاجم مكالمة RPC إلى وحدات التحكم في المجال التي تحفزها لتصبح عملاء CLDAP
- ترسل وحدات التحكم في المجال طلب CLDAP إلى خادم CLDAP الخاص بالمهاجم، الذي يعيد بعد ذلك استجابة إحالة تشير إلى خادم LDAP الخاص بالمهاجم من أجل التبديل من UDP إلى TCP
- ترسل وحدات التحكم في المجال استعلام LDAP إلى خادم LDAP الخاص بالمهاجم عبر TCP
- يستجيب خادم LDAP الخاص بالمهاجم باستجابة إحالة LDAP تحتوي على قائمة طويلة من روابط إحالة LDAP، جميعها تشير إلى منفذ واحد على عنوان IP واحد
- ترسل وحدات التحكم في المجال استعلام LDAP على ذلك المنفذ، مما يتسبب في إغلاق الخادم الويب الذي قد يتم تقديمه عبر المنفذ للاتصال TCP
“بمجرد أن يتم إلغاء الاتصال TCP، تستمر وحدات التحكم في المجال إلى الإحالة التالية في القائمة، التي تشير مرة أخرى إلى نفس الخادم”، قال الباحثون. “وتتكرر هذه السلوكيات حتى تنتهي جميع الروابط في قائمة الإحالة، مما يخلق تقنيتنا المبتكرة Win-DDoS.”
أهمية Win-DDoS
ما يجعل Win-DDoS ذات أهمية هو أنها تتمتع بعرض نطاق ترددي عالٍ ولا تتطلب من المهاجم شراء بنية تحتية مخصصة. كما أنها لا تتطلب منهم اختراق أي أجهزة، مما يسمح لهم بالتحرك تحت الرادار.
أظهر تحليل إضافي لعملية إحالة عميل LDAP أنه من الممكن تحفيز انهيار LSASS أو إعادة تشغيل النظام أو شاشة زرقاء للموت (BSoD) عن طريق إرسال قوائم إحالة طويلة إلى وحدات التحكم في المجال، مستفيدين من عدم وجود حدود على أحجام قوائم الإحالة وعدم تحرير الإحالات من ذاكرة كومة وحدات التحكم في المجال حتى يتم استرداد المعلومات بنجاح.
تقوم Win-DDoS بعكس هذا السلوك من خلال توفير جهاز بقائمة إحالة تشير إلى ضحية مستهدفة، بدلاً من انهيار النظام عن طريق توفير كمية ضخمة من الإحالات التي يمكن أن تستنفد موارد وحدة التحكم في المجال. يفتح هذا الباب أمام سيناريو يمكن فيه استهداف وحدات التحكم في المجال العامة في جميع أنحاء العالم لإرسال حزم LDAP إلى أي عنوان IP ومنفذ يختاره المهاجم.
نظرًا لأن وحدات التحكم في المجال تعتمد بشكل كبير على RPC للعمل، وخاصةً من أجل المصادقة وإدارة المستخدمين وإدارة الخدمات، وجدت SafeBreach أنه من الممكن استخدام تقنية حرمان الخدمة (DoS) تسمى TorpeDoS ضد خوادم RPC.
“TorpeDoS هي تقنية اخترعناها التي تخلق تأثير DDoS، ولكن من جهاز كمبيوتر واحد”، أخبرت SafeBreach The Hacker News. “لا تستخدم العديد من أجهزة الكمبيوتر المختلفة حول العالم لإنشاء DDoS، بل تحسن كفاءة معدل استدعاء RPC بشكل كبير بحيث يكون تأثير جهاز كمبيوتر واحد ينفذ TorpeDoS معادلًا لتأثير هجوم DDoS تم تنفيذه بواسطة عشرات الآلاف من أجهزة الكمبيوتر.”
علاوة على ذلك، وُجد أن الكود غير المعتمد على النقل الذي يتم تنفيذه لخدمة طلبات العملاء يحتوي على ثلاث ثغرات جديدة في حرمان الخدمة (DoS) يمكن أن تؤدي إلى انهيار وحدات التحكم في المجال دون الحاجة إلى مصادقة، وثغرة DoS إضافية واحدة توفر لأي مستخدم مصادق عليه القدرة على انهيار وحدة تحكم مجال أو جهاز كمبيوتر يعمل بنظام ويندوز في نطاق.
تم إدراج العيوب المحددة أدناه:
- CVE-2025-26673 (درجة CVSS: 7.5) – استهلاك غير مسيطر عليه للموارد في بروتوكول الوصول الخفيف لدليل ويندوز (LDAP) يسمح لمهاجم غير مصرح له بحرمان الخدمة عبر الشبكة (تم إصلاحه في مايو 2025)
- CVE-2025-32724 (درجة CVSS: 7.5) – استهلاك غير مسيطر عليه للموارد في خدمة نظام الأمان المحلي لويندوز (LSASS) يسمح لمهاجم غير مصرح له بحرمان الخدمة عبر الشبكة (تم إصلاحه في يونيو 2025)
- CVE-2025-49716 (درجة CVSS: 7.5) – استهلاك غير مسيطر عليه للموارد في Netlogon الخاص بويندوز يسمح لمهاجم غير مصرح له بحرمان الخدمة عبر الشبكة (تم إصلاحه في يوليو 2025)
- CVE-2025-49722 (درجة CVSS: 5.7) – استهلاك غير مسيطر عليه للموارد في مكونات طابعة ويندوز يسمح لمهاجم مصرح له بحرمان الخدمة عبر شبكة مجاورة (تم إصلاحه في يوليو 2025)
مثل ثغرة LDAPNightmare (CVE-2024-49113) التي تم تفصيلها في وقت سابق من هذا يناير، تظهر النتائج الأخيرة أن هناك نقاط ضعف في ويندوز يمكن استهدافها واستغلالها، مما يعيق العمليات التجارية.
“الثغرات التي اكتشفناها هي ثغرات صفرية النقر، غير مصادق عليها، تسمح للمهاجمين بانهيار هذه الأنظمة عن بُعد إذا كانت متاحة للجمهور، وتظهر أيضًا كيف يمكن للمهاجمين الذين لديهم وصول محدود إلى شبكة داخلية تحفيز نفس النتائج ضد البنية التحتية الخاصة”، قال الباحثون.
“تكتشف نتائجنا الافتراضات الشائعة في نمذجة تهديدات المؤسسات: أن مخاطر DoS تنطبق فقط على الخدمات العامة، وأن الأنظمة الداخلية آمنة من الاستغلال ما لم يتم اختراقها بالكامل. الآثار على مرونة المؤسسات، ونمذجة المخاطر، واستراتيجيات الدفاع كبيرة.”
مع استمرار تطور التهديدات، يصبح من الضروري أن تظل المؤسسات يقظة وتعمل على تعزيز دفاعاتها ضد مثل هذه الهجمات.
