شبکه | آموزش و مقالات شبکه، وب، سرور و اینترنت

آموزش‌های کلادفلر به‌زودی در این بخش قرار داده می‌شود.

Win-DDoS؛ بررسی آسیب‌پذیری‌های جدید در دامین کنترلرهای ویندوز

نوشته شده توسط

سروش احمدی

در

یه تکنیک حمله جدید کشف شده که میتونه هزاران «دامین کنترلر» (Domain Controller) یا به اختصار DC عمومی در سراسر دنیا رو تبدیل به یه شبکه مخرب یا همون بات‌نت (Botnet) کنه. مهاجم‌ها با این کار میتونن حمله‌های خیلی سنگین «محروم‌سازی از سرویس توزیع‌شده» (DDoS) راه بندازن. این روش اونقدر مهمه که محقق‌های شرکت «سیف‌بریچ» (SafeBreach) یعنی اور یائیر (Or Yair) و شاهک موراگ (Shahak Morag) اسم رمز Win-DDoS رو براش انتخاب کردن و یافته‌هاشون رو توی کنفرانس امنیتی دف‌کان ۳۳ (DEF CON 33) ارائه دادن. این کشف نشون میده که چطور میشه از خود پلتفرم ویندوز به عنوان یه سلاح استفاده کرد، بدون اینکه حتی نیازی به اجرای کد یا داشتن رمز عبور باشه.

اور یائیر و شاهک موراگ توی گزارشی که با «ده هکر نیوز» (The Hacker News) به اشتراک گذاشتن، توضیح دادن: «وقتی داشتیم پیچیدگی‌های کد کلاینت LDAP ویندوز رو بررسی میکردیم، به یه نقص بزرگ برخوردیم. این نقص به ما اجازه میداد فرایند ارجاع URL رو دستکاری کنیم و دامین کنترلرها رو به سمت یه سرور قربانی هدایت کنیم تا اون سرور رو با درخواست‌های زیاد از کار بندازیم». اونها اضافه کردن که در نتیجه این بررسی، تونستن تکنیک Win-DDoS رو خلق کنن. این تکنیک به یه مهاجم اجازه میده تا از قدرت ده‌ها هزار دامین کنترلر عمومی در سراسر دنیا استفاده کنه و یه بات‌نت مخرب با منابع و سرعت آپلود فوق‌العاده زیاد بسازه. نکته جالبش اینه که برای این کار نه نیازی به خرید چیزی هست و نه ردپای قابل پیگیری از مهاجم باقی میمونه.

این روش حمله، پلتفرم ویندوز رو همزمان هم به قربانی و هم به سلاح تبدیل میکنه. یعنی از خود ساختار ویندوز برای حمله به بخش‌های دیگه استفاده میشه، بدون اینکه نیازی به اجرای کد یا داشتن اطلاعات ورود باشه.

حملات DDoS دقیقا چی هستن و چرا اینقدر مهمن؟

قبل از اینکه عمیق‌تر وارد ماجرای Win-DDoS بشیم، بهتره یه نگاهی به خود حملات DoS و DDoS بندازیم. حمله «محروم‌سازی از سرویس» (Denial of Service) یا به اختصار DoS، یه تاکتیک مخربه که برای مختل کردن ترافیک عادی یه سرور، سرویس یا شبکه استفاده میشه. این اتفاق وقتی میفته که یه مهاجم سعی میکنه یه سرور خاص رو با حجم عظیمی از درخواست‌ها غرق کنه تا اون سرور از کار بیفته یا دچار اختلال بشه.

حالا، حمله «محروم‌سازی از سرویس توزیع‌شده» (Distributed Denial of Service) یا DDoS هم هدف مشابهی داره، اما این کار رو با استفاده از تعداد زیادی دستگاه آلوده و اغلب پراکنده از نظر جغرافیایی انجام میده. این دستگاه‌ها که بهشون «بات» (Bot) میگن، همزمان شروع به ارسال درخواست به سمت سرور قربانی میکنن و چون تعدادشون خیلی زیاده، حجم ترافیک به شدت بالا میره و مقابله باهاش خیلی سخت‌تر میشه.

این نوع حملات، یعنی DDoS، در سال‌های اخیر خیلی بیشتر شدن. مثلا گزارش شرکت «جی‌کور» (Gcore) برای سه ماهه سوم و چهارم سال ۲۰۲۴ که در فوریه ۲۰۲۵ منتشر شد، نشون میده که حملات DDoS نسبت به همین دوره زمانی در سال ۲۰۲۳، حدود ۵۶ درصد افزایش داشته. این فقط یه آمار ساده نیست، بلکه نشون میده که این روش حمله داره روز به روز محبوب‌تر و رایج‌تر میشه.

مقیاس، هزینه و سطح تخریب این حملات هم به شکل چشمگیری زیاد شده. در ژوئن ۲۰۲۵، شرکت «کلادفلر» (Cloudflare) گزارش داد که به تازگی بزرگ‌ترین حمله DDoS تاریخ رو دفع کرده؛ حمله‌ای که به ۷.۳ ترابیت داده در ثانیه (Tbps) رسیده بود. فقط یک ماه قبل از اون، خبرنگار امنیت سایبری، برایان کربز (Brian Krebs) در وب‌سایت «کربز آن سکیوریتی» (KrebsOnSecurity)، از حمله‌ای با سرعت ۶.۳ ترابیت بر ثانیه خبر داده بود. این اعداد و ارقام نشون میده که قدرت این حملات چقدر میتونه ویرانگر باشه.

هزینه‌های ناشی از این حملات هم سرسام‌آوره. بر اساس گزارش «پریمیتر ۸۱» (Perimeter 81) از شرکت «چک پوینت» (Check Point)، حملات DDoS الان برای سازمان‌ها به طور متوسط دقیقه‌ای ۶۰۰۰ دلار هزینه بابت از کار افتادن سرویس‌ها به همراه داره. این یعنی هر حادثه برای سازمان‌های کوچیک به طور متوسط بیش از ۴۰۰ هزار دلار و برای شرکت‌های بزرگ حتی میتونه از ۱ میلیون دلار هم بیشتر هزینه داشته باشه.

ریشه‌های تحقیق: ماجرای LDAPNightmare

تحقیقات جدید سیف‌بریچ روی یه کشف قبلی به اسم LDAPNightmare بنا شده. اوایل سال ۲۰۲۵، سیف‌بریچ یه تحقیق مفصل در مورد یه آسیب‌پذیری DoS به اسم LDAPNightmare منتشر کرد که توسط «یوکی چن» (Yuki Chen) با شناسه کاربری (guhe120@) کشف شده بود. این آسیب‌پذیری با شناسه CVE-2024-49113 در وب‌سایت مرکز پاسخگویی امنیتی مایکروسافت (MSRC) در تاریخ ۱۰ دسامبر ۲۰۲۴ ثبت شد. این آسیب‌پذیری به یه مهاجم اجازه میداد بدون نیاز به احراز هویت یا تعامل کاربر، هر دامین کنترلری (DC) که پچ نشده بود رو از کار بندازه و باعث کرش کردنش بشه.

تحقیق سیف‌بریچ در مورد LDAPNightmare ثابت کرد که با وجود اینکه دامین کنترلرها یه بخش حیاتی از سیستم هستن و خیلی زیاد از نظر امنیتی بررسی شدن، هنوز هم «نقاط کور» (Blind Spots) توی کدهای اونها وجود داره که مشکلات خیلی ساده‌ای دارن. این موضوع پایه و اساس تحقیقات جدیدشون شد. اونها تصمیم گرفتن دنبال آسیب‌پذیری‌های DoS مشابهی بگردن که توی نقاط کور سیستم عامل ویندوز پنهان شدن و میشه ازشون سوءاستفاده کرد. هدف اصلی اونها دوباره دامین کنترلرها بودن، چون این دستگاه‌ها یه جزء کلیدی توی شبکه اکتیو دایرکتوری (Active Directory) اکثر سازمان‌ها هستن. از کار انداختن یه دامین کنترلر میتونه به طور کامل عملیات یه سازمان قربانی رو متوقف کنه.

هدف تحقیق جدید: پیدا کردن نقاط کور در ویندوز

محقق‌های سیف‌بریچ تحقیق جدیدشون رو با هدف پیدا کردن آسیب‌پذیری‌های DoS توی نقاط کور توسعه‌دهنده‌ها در سیستم عامل ویندوز شروع کردن. اونها معتقد بودن این نقاط کور میتونن سطوح حمله جدیدی ایجاد کنن که پتانسیل وارد کردن خسارت‌های جدی به یه سازمان رو دارن. تمرکز اونها روی دو حوزه اصلی بود که به عنوان نقاط کور شناسایی کرده بودن:

  1. کد سمت کلاینت (Client Code): این نوع کدها معمولا فرض میکنن که سروری که بهش وصل میشن، توسط خود کلاینت انتخاب شده و برای همین، به سرور و اطلاعاتی که ازش میاد، اعتماد میکنن. حالا اگه بشه از راه دور یه کدی رو مجبور کرد که به یه سرور تحت کنترل مهاجم وصل بشه، اون وقت یه کد کلاینت از راه دور داریم که خیلی بیشتر از یه کد سرور از راه دور به ما اعتماد میکنه.
  2. کد سرور بسته‌بندی شده و مستقل از پروتکل انتقال (Transport-Agnostic Wrapped Server Code): این کدها منطقی رو اجرا میکنن که برای پاسخ به درخواست‌های کلاینت‌ها نوشته شده. اما چون با استفاده از یه فریم‌ورک یا کتابخونه‌ای نوشته شدن که همه جنبه‌های شبکه رو خیلی خوب «بسته‌بندی» یا «رپ» (wrap) میکنه، توسعه‌دهنده فقط روی منطق خود برنامه تمرکز میکنه. در این حالت، خیلی محتمله که توسعه‌دهنده فراموش کنه که ریسک‌های کلاسیک مرتبط با شبکه رو کاهش بده.

با تمرکز روی این دو نقطه کور، محقق‌ها تونستن به نتایج شگفت‌انگیزی برسن. اونها یه تکنیک DDoS جدید به اسم Win-DDoS کشف کردن که میتونه از دامین کنترلرهای عمومی برای ساختن یه بات‌نت مخرب استفاده کنه. علاوه بر این، سه آسیب‌پذیری DoS جدید پیدا کردن که بدون نیاز به احراز هویت میتونن دامین کنترلرها رو از کار بندازن، و یه آسیب‌پذیری DoS دیگه که به هر کاربر احراز هویت شده‌ای اجازه میده هر دامین کنترلر یا کامپیوتر ویندوزی توی یه دامین رو کرش کنه.

جزئیات فنی: چطور Win-DDoS کار میکنه؟

همونطور که گفته شد، ایده اصلی Win-DDoS از آسیب‌پذیری LDAPNightmare اومد. توی اون آسیب‌پذیری، مهاجم میتونست یه دامین کنترلر رو مجبور کنه که به یه کلاینت CLDAP (که یه نسخه از LDAP روی پروتکل UDP هست) تبدیل بشه. بعد با فرستادن یه مقدار نامعتبر از سمت سرور CLDAP، کلاینت CLDAP که توی یه پروسه حیاتی به اسم LSASS قرار داشت، کرش میکرد و کل سیستم از کار میفتاد.

محقق‌ها از خودشون پرسیدن: «چی میشه اگه به جای فرستادن یه مقدار نامعتبر توی پاسخ ارجاع LDAP، یه پاسخ کاملا معتبر با ارجاع‌هایی که به یه قربانی DDoS اشاره میکنن، برگردونیم؟». با این کار، شاید میشد هر دامین کنترلری رو تبدیل به یه «بات» توی یه حمله بات‌نت DDoS کرد.

در یه حمله DDoS معمولی، مهاجم باید یه کامپیوتر شخصی داشته باشه که حمله رو شروع کنه. این کامپیوتر به یه سرور فرماندهی و کنترل (C&C) وصل میشه. این سرور با تعداد زیادی بات که مهاجم قبلا اونها رو هک کرده، ارتباط برقرار میکنه و بهشون دستور میده که حجم زیادی از درخواست‌ها رو به سمت یه سرور قربانی بفرستن تا از کار بیفته.

اما با روش جدید، اگه میشد تعداد زیادی دامین کنترلر در سراسر دنیا رو مجبور کرد که به سرور LDAP مهاجم وصل بشن و بعد با استفاده از ارجاع‌های LDAP اونها رو به سمت یه سرور قربانی هدایت کرد، دیگه نیازی به هک کردن بات‌های دیگه یا گذاشتن ردپا روی اونها نبود.

مراحل حمله Win-DDoS به این صورته:

  1. شروع حمله: مهاجم یه تماس رویه از راه دور یا RPC call به دامین کنترلرها میفرسته. این کار باعث میشه دامین کنترلرها تبدیل به کلاینت‌های CLDAP بشن.
  2. ارتباط اولیه: دامین کنترلرها یه درخواست CLDAP به سرور CLDAP مهاجم میفرستن. سرور مهاجم یه پاسخ ارجاع (referral) برمیگردونه که دامین کنترلرها رو به سرور LDAP خود مهاجم ارجاع میده. این کار برای اینه که پروتکل از UDP (که توی CLDAP استفاده میشه) به TCP (که توی LDAP استفاده میشه) تغییر کنه. چرا؟ چون UDP محدودیت اندازه بسته داره و نمیشه یه لیست بلند از ارجاع‌ها رو باهاش فرستاد.
  3. تغییر به TCP: دامین کنترلرها حالا یه کوئری LDAP روی پروتکل TCP به سرور LDAP مهاجم میفرستن.
  4. لیست ارجاع‌های مخرب: سرور LDAP مهاجم با یه پاسخ ارجاع LDAP جواب میده که شامل یه لیست خیلی طولانی از URL‌های ارجاع LDAP هست. همه این URL‌ها به یه پورت خاص روی یه آدرس IP خاص اشاره میکنن که همون سرور قربانیه.
  5. شروع بمباران: دامین کنترلرها شروع به فرستادن کوئری LDAP به اون پورت میکنن. اون پورت میتونه مثلا یه پورت وب سرور باشه. از اونجایی که وب سرورها انتظار بسته‌های LDAP رو ندارن (چون بسته‌های معتبر HTTP نیستن)، اکثرشون خیلی ساده اتصال TCP رو میبندن.
  6. حلقه تکرار: به محض اینکه اتصال TCP قطع میشه، دامین کنترلر میره سراغ ارجاع بعدی توی لیست، که دوباره به همون سرور اشاره میکنه. این رفتار اینقدر تکرار میشه تا همه URL‌های توی لیست ارجاع تموم بشن. اینطوری تکنیک نوآورانه حمله Win-DDoS شکل میگیره.

یک ترفند هوشمندانه برای دور زدن محدودیت‌ها

شاید فکر کنید که سیستم عامل ویندوز باید جلوی این کار رو بگیره. در واقع، توی wldap32.dll که کلاینت LDAP ویندوز هست، یه تابع به اسم LdapChaseReferral وجود داره که ارجاع‌ها رو دنبال میکنه. داخل این تابع، یه تابع دیگه به اسم CheckForExistingReferral هست که ارجاع‌های تکراری رو چک میکنه. اگه کلاینت LDAP با یه ارجاعی مواجه بشه که قبلا دنبالش کرده، فرایند رو متوقف میکنه.

در نگاه اول به نظر میرسید که این تابع جلوی نقشه مهاجم رو میگیره، چون نمیشه دو تا URL ارجاع LDAP یکسان فرستاد و در نتیجه نمیشه یه سرور خاص رو غرق درخواست کرد. اما محقق‌ها متوجه شدن که با اینکه کلاینت LDAP معتبر بودن خود URL‌ها رو چک میکنه تا تکراری نباشن، ولی چک نمیکنه که آیا اون URL‌ها به یه آدرس IP یکسان ختم میشن یا نه.

برای سوءاستفاده از این منطق، مهاجم فقط کافیه یه رکورد «وایلدکارد» (wildcard) زیردامنه توی دامنه‌ای که مال خودشه تنظیم کنه که به آدرس IP قربانی اشاره کنه. مثلا *.attacker.com رو به IP قربانی وصل کنه. اینطوری میتونه هزاران URL منحصربه‌فرد مثل 1.attacker.com و 2.attacker.com بسازه که همشون به یه جا میرسن.

چرا Win-DDoS اینقدر مهمه؟

این تکنیک به چند دلیل خیلی قابل توجهه:

  • پهنای باند خیلی بالا داره: چون میتونه از قدرت ده‌ها هزار دامین کنترلر در سراسر دنیا استفاده کنه.
  • نیازی به خرید زیرساخت نداره: مهاجم لازم نیست پولی برای سرور یا بات‌نت خرج کنه.
  • ردپایی باقی نمیذاره: چون مهاجم هیچ دستگاهی رو هک نمیکنه، هیچ ردپایی روی بات‌ها باقی نمیمونه. فعالیت مخرب از سمت دامین کنترلرهای قربانی سرچشمه میگیره، نه کامپیوتر مهاجم.
  • اجرای ساده: میشه از هر جایی فقط با فشردن یه دکمه این حمله رو اجرا کرد.

این ویژگی‌ها باعث میشه Win-DDoS یه حمله DDoS ایده‌آل باشه که سطح تلاش مورد نیاز برای مهاجم‌ها رو به شدت کاهش میده.

آسیب‌پذیری‌های جدید DoS: وقتی خود سیستم هدف قرار میگیره

تحقیقات سیف‌بریچ فقط به کشف تکنیک Win-DDoS محدود نشد. اونها در ادامه تونستن چندین آسیب‌پذیری «محروم‌سازی از سرویس» (DoS) جدید هم پیدا کنن که خود دامین کنترلرها یا کامپیوترهای ویندوزی رو هدف قرار میدن.

DoS شماره ۱: آسیب‌پذیری سرریز ارجاع (Referral Overflow) – CVE-2025-32724

بعد از اینکه محقق‌ها فهمیدن میتونن ده‌ها هزار ارجاع بفرستن، خواستن ببینن آیا واقعا محدودیتی برای تعداد ارجاع‌ها وجود داره یا نه. با استفاده از CLDAP (روی UDP)، محدودیت اندازه بسته حدود ۶۴ کیلوبایت بود. اما روی TCP چطور؟ تا جایی که اونها تست کردن، به نظر میرسید مایکروسافت هیچ محدودیتی روی اندازه لیست ارجاع یا طول یه ارجاع تکی نذاشته. اونها دیدن هر چقدر لیست طولانی‌تری میفرستادن، کلاینت LDAP هنوز اون رو قبول میکرد.

علاوه بر این، اونها کشف کردن که کلاینت LDAP هیچکدوم از URL‌های ارجاع رو از حافظه «هیپ» (heap) دامین کنترلر آزاد نمیکنه، مگر اینکه به انتهای لیست برسه یا اطلاعات رو با موفقیت از یکی از سرورها بگیره. این یعنی هر چی لیست ارجاع طولانی‌تر باشه، اون تخصیص حافظه برای مدت زمان طولانی‌تری باقی میمونه. این فاصله بین تخصیص‌ها و آزادسازی‌های حافظه رو زیاد میکنه.

در نتیجه، فرستادن لیست‌های خیلی بزرگ از ارجاع‌ها (اگه چند بار تکرار بشه) منجر به یه حمله DoS دیگه میشه. این حمله باعث میشه پروسه حیاتی LSASS کرش کنه و سیستم رو مجبور به ریبوت کنه، یا حتی باعث نمایش «صفحه آبی مرگ» (BSOD) بشه. این آسیب‌پذیری با شناسه CVE-2025-32724 ثبت شده.

نقطه کور دوم: کد سرور بسته‌بندی شده و مستقل از پروتکل انتقال

موفقیت در پیدا کردن آسیب‌پذیری در کلاینت LDAP، محقق‌ها رو به سمت نقطه کور دومی که شناسایی کرده بودن، هدایت کرد: کد سرور بسته‌بندی شده و مستقل از پروتکل انتقال. اونها فهمیدن که پروتکل «تماس رویه از راه دور» یا RPC در ویندوز، یه نمونه عالی از این نوع کدهاست. مایکروسافت به وضوح میگه که پروتکل RPC به توسعه‌دهنده‌ها اجازه میده روی جزئیات برنامه تمرکز کنن، نه جزئیات شبکه. این یعنی RPC یه سرور به شدت «بسته‌بندی» شده است. فرض محقق‌ها این بود که توسعه‌دهنده‌ها وقتی سرورهایی که توسعه میدن از نوع RPC هستن، به احتمال زیاد فراموش میکنن که ریسک‌های کلاسیک سرور رو کاهش بدن.

اونها شروع به گشتن دنبال اینترفیس‌های RPC روی TCP یا SMB pipes کردن که:

  • از راه دور قابل دسترسی باشن.
  • نیاز به حداقل دسترسی داشته باشن و هیچ بازبینی امنیتی نداشته باشن تا بشه به صورت ناشناس بهشون دسترسی پیدا کرد.
  • به پروسه‌های حیاتی مثل LSASS متصل باشن تا کرش کردنشون تاثیر قابل توجهی داشته باشه.
  • پارامترهایی داشته باشن که بتونن مقادیر بزرگی بگیرن و منجر به تخصیص حافظه زیاد بشن.

اما تلاش اولیه اونها کافی نبود. فراخوانی ساده توابع RPC که فکر میکردن حافظه زیادی مصرف میکنن، خیلی طول میکشید. با اینکه حافظه کمی افزایش پیدا میکرد، ولی سرعتش برای ایجاد یه کرش خیلی پایین بود. اونها به یه راه سریع‌تر برای سوزوندن حافظه نیاز داشتن.

تکنیک‌های جدید برای افزایش سرعت حمله: Stateless RPC و TorpeDoS

برای بهینه‌سازی حمله‌شون، اونها عمیق‌تر وارد فرایند «باند» (bind) ناامن RPC شدن. باند مثل دست دادنه. کلاینت به سرور میگه کدوم اینترفیس رو میخواد. سرور هم میتونه قبول یا رد کنه. طبق مستندات ویندوز، کلاینت باید منتظر تایید باند از طرف سرور بمونه و بعد RPC call رو بفرسته. اما این انتظار، زمان حمله رو هدر میداد.

تکنیک Stateless RPC:
محقق‌ها از خودشون پرسیدن: «چی میشه اگه RPC واقعا حالت‌مند (stateful) نباشه؟». اونها سعی کردن بسته باند و بسته RPC call رو با هم بفرستن، بدون اینکه منتظر تایید باند بمونن. و این روش کار کرد! سرور RPC اون رو قبول کرد. اونها اسم این روش رو «تکنیک RPC بدون حالت» (Stateless RPC) گذاشتن. این تکنیک سه مزیت داشت:

  1. میشد بسته RPC call رو از قبل ساخت و نیازی به ساختن مجدد در هر بار نبود.
  2. میشد باند و فراخوانی رو در یک بسته TCP انجام داد.
  3. نیازی به منتظر موندن برای هیچ پاسخی نبود، پس میشد بسته بعدی رو بلافاصله فرستاد.

تاثیر این روش فوق‌العاده بود. نرخ فراخوانی در ثانیه به شدت بالا رفت و اونها میتونستن همون بسته رو بارها و بارها تکرار کنن.

تکنیک TorpeDoS:
با وجود موفقیت تکنیک قبلی، اونها به فکر یه روش قوی‌تر افتادن. «آیا میشه یه حمله شبیه DDoS رو فقط از یه کامپیوتر اجرا کرد؟». چیزی که جلوی این کار رو میگیره، زمان زیادیه که قبل از خود RPC call تلف میشه: فرستادن بسته باند، منتظر موندن برای تایید، و زمان پردازش بسته باند روی خود هدف.

برای حذف این گلوگاه، اونها تصمیم گرفتن حمله رو به دو فاز تقسیم کنن:

  • فاز اول: باز کردن هزاران اتصال با فرستادن همه بسته‌های باند از قبل، از یه کامپیوتر.
  • فاز دوم: غرق کردن همزمان اون اتصالات با RPC call‌ها.

اونها متوجه شدن که سرورهای RPC ویندوز اتصالات باند-تنها (bind-only) رو حداقل تا ده دقیقه باز نگه میدارن. این زمان کافی بود تا یه مهاجم هزاران باند رو کامل کنه و بعد سیل RPC call‌ها رو آزاد کنه. اونها اسم این تکنیک رو TorpeDoS گذاشتن – یه DDoS از یک کامپیوتر. این تکنیک روی اینترفیس‌های TCP خیلی موثر بود چون برخلاف SMB، محدودیتی برای تعداد اتصالات همزمان نداشت و هیچکدوم از روش‌های کاهش حمله DDoS معمول (مثل محدود کردن نرخ بر اساس IP) روی RPC call‌های روی TCP اعمال نمیشد.

DoS شماره ۲: آسیب‌پذیری Netlogon شماره ۱ – تابع DsrAddressToSiteNamesW – (CVE-2025-49716)

با استفاده از تکنیک Stateless RPC، اونها تابع DsrAddressToSiteNamesW رو در اینترفیس Netlogon RPC که داخل LSASS قرار داره، هدف قرار دادن. این فراخوانی که روی دامین کنترلرها به صورت ناشناس در دسترسه، لیستی از آدرس‌های سوکت رو به اسم سایت مربوطه‌شون ترجمه میکنه. پارامتر EntryCount در این تابع میتونه تا ۳۲۰۰۰ باشه. هر فراخوانی حداقل هشت برابر مقدار EntryCount بایت حافظه تخصیص میده. این یعنی هر فراخوانی میتونه حداقل ۲۵۶ کیلوبایت حافظه مصرف کنه. با تکرار سریع این فراخوانی با استفاده از تکنیک Stateless RPC، اونها تونستن به خاطر تخصیص سریع حافظه در مقابل آزادسازی کندتر، باعث خستگی حافظه و کرش کردن دامین کنترلر بشن. این آسیب‌پذیری با شناسه CVE-2025-49716 ثبت شد.

DoS شماره ۳: آسیب‌پذیری Netlogon شماره ۲ – تابع NetrServerReqChallenge – (CVE-2025-26673)

در ادامه، اونها از تکنیک TorpeDoS روی اینترفیس Netlogon RPC در LSASS استفاده کردن. فراخوانی تابع NetrServerReqChallenge اولین مرحله از مذاکره کلید نشست کانال امنه. این RPC call هم روی دامین کنترلرها به صورت ناشناس در دسترسه.

با مهندسی معکوس DLL مربوط به Netlogon، اونها دیدن که فراخوانی این RPC باعث تخصیص حافظه از طریق تابع NlInsertChallenge میشه. این تابع چالش‌ها رو به همراه پارامتر ComputerName که به تابع داده میشه، ذخیره میکنه. این تابع هیچ اعتبارسنجی ورودی برای این پارامتر نداره، یعنی میشد با یه مقدار خیلی بزرگ، تخصیص حافظه عظیمی رو (شاید ده‌ها مگابایت در یک فراخوانی) ایجاد کرد.

بزرگ‌ترین مانع، منطقی بود که چالش‌های قبلی رو آزاد میکرد. تابع NLScavengeOldChallenges وقتی یه چالش جدید میرسه، چالش‌های قدیمی‌تر از دو دقیقه رو پاک میکنه. این یه پنجره دو دقیقه‌ای برای کرش کردن دامین کنترلر از طریق خستگی منابع ایجاد میکرد. اما از اونجایی که در تکنیک TorpeDoS، فرایند باندینگ باعث ایجاد چالش نمیشه، این توابع هم فراخوانی نمیشن. با استفاده از TorpeDoS، اونها تونستن تعداد خیلی بیشتری فراخوانی رو در همون پنجره دو دقیقه‌ای بفرستن و از این فرصت کوتاه برای ایجاد یه DoS ناشناس دیگه استفاده کنن که با شناسه CVE-2025-26673 ثبت شد.

DoS شماره ۴: آسیب‌پذیری SpoolSV – تابع RpcEnumPrinters – (CVE-2025-49722)

تا اینجا، همه حملات روی دامین کنترلرها متمرکز بود. اما محقق‌ها میخواستن ببینن آیا میتونن هر چیزی رو کرش کنن، از جمله هر کامپیوتر ویندوزی در دامین؟ اونها نتونستن هیچ اینترفیس RPC روی کامپیوترهای ویندوزی پیدا کنن که نیاز به احراز هویت نداشته باشه. برای همین تصمیم گرفتن با همین محدودیت ادامه بدن، چون کرش کردن هر کامپیوتری توی یه شبکه اکتیو دایرکتوری با یه کاربر غیر ممتاز هنوز هم خیلی خطرناکه.

اونها یه تابع جالب RPC در پروسه spoolsv.exe پیدا کردن به اسم RpcEnumPrinters که پرینترها، سرورها، دامین‌ها و ارائه‌دهنده‌های پرینتر موجود رو لیست میکنه. مثل تابع قبلی، این تابع هم برای اجرا نیاز به اطلاعات ورود داره. هر کاربر دامین میتونه اون رو از راه دور روی هر کامپیوتر ویندوزی در دامین فراخوانی کنه.

اما چون این فراخوانی احراز هویت شده است، RPC حالت‌مند (stateful) میشه. بسته‌های بعد از باندینگ امضا میشن و این امضا کردن زمان‌بره. این موضوع هر دو تکنیک Stateless RPC و TorpeDoS رو خراب میکرد. اما اونها راه حلی پیدا کردن: TorpeDoS با پشتیبانی از احراز هویت. اونها فرایند رو به این صورت تغییر دادن: از قبل باندینگ رو انجام میدادن، مقادیر مورد نیاز برای امضا کردن (که با NTLM انجام میشد) رو ضبط میکردن، بعد بسته‌های از پیش تعریف شده رو امضا میکردن و تازه بعد از اون شروع به فرستادن درخواست‌های RPC call میکردن.

این روش باعث شد TorpeDoS برای موارد احراز هویت شده هم کار کنه، و حتی موثرتر هم باشه چون زمان بیشتری رو ذخیره میکرد. با استفاده از این تکنیک، اونها دوباره تابع RpcEnumPrinters رو با یه پارامتر ComputerName طولانی امتحان کردن و موفق شدن کامپیوتر ویندوزی قربانی رو کرش کنن. حالا اونها راهی پیدا کرده بودن که یه کاربر ساده میتونست همه کامپیوترهای ویندوزی توی یه دامین رو از کار بندازه. این آسیب‌پذیری با شناسه CVE-2025-49722 ثبت شد.

خلاصه آسیب‌پذیری‌های کشف شده

در اینجا لیستی از چهار آسیب‌پذیری شناسایی شده توسط محققان سیف‌بریچ ارائه شده است:

  • CVE-2025-26673 (امتیاز CVSS: 7.5): مصرف بی‌رویه منابع در LDAP ویندوز که به یک مهاجم غیرمجاز اجازه می‌دهد از طریق شبکه سرویس را مختل کند. (در ماه می ۲۰۲۵ اصلاح شد)
  • CVE-2025-32724 (امتیاز CVSS: 7.5): مصرف بی‌رویه منابع در سرویس زیرسیستم مرجع امنیت محلی ویندوز (LSASS) که به یک مهاجم غیرمجاز اجازه می‌دهد از طریق شبکه سرویس را مختل کند. (در ماه ژوئن ۲۰۲۵ اصلاح شد)
  • CVE-2025-49716 (امتیاز CVSS: 7.5): مصرف بی‌رویه منابع در Netlogon ویندوز که به یک مهاجم غیرمجاز اجازه می‌دهد از طریق شبکه سرویس را مختل کند. (در ماه ژوئیه ۲۰۲۵ اصلاح شد)
  • CVE-2025-49722 (امتیاز CVSS: 5.7): مصرف بی‌رویه منابع در اجزای Print Spooler ویندوز که به یک مهاجم مجاز اجازه می‌دهد از طریق یک شبکه مجاور سرویس را مختل کند. (در ماه ژوئیه ۲۰۲۵ اصلاح شد)

پیامدها و نتایج کلیدی این تحقیقات

این تحقیقات فراتر از چند آسیب‌پذیری ساده است و پیامدهای مهمی برای امنیت سایبری داره. یافته‌ها، فرضیات رایج در مدل‌سازی تهدیدات سازمانی رو زیر سوال میبرن: اینکه ریسک‌های DoS فقط برای سرویس‌های عمومی اعمال میشن و سیستم‌های داخلی تا زمانی که به طور کامل هک نشن، امن هستن. این تحقیق نشون میده که این فرضیات دیگه معتبر نیستن.

این آسیب‌پذیری‌ها بدون کلیک (zero-click) و بدون نیاز به احراز هویت هستن و به مهاجم‌ها اجازه میدن سیستم‌های حیاتی مثل دامین کنترلرها و سرورهای زیرساختی رو از راه دور کرش کنن، چه این سیستم‌ها به اینترنت متصل باشن و چه نباشن. همچنین نشون میده که چطور یه مهاجم با حداقل دسترسی به یه شبکه داخلی میتونه همین نتایج رو علیه زیرساخت‌های خصوصی ایجاد کنه.

این تحقیق همچنین نقص‌های عمیق و قدیمی در اجزای اصلی ویندوز رو آشکار میکنه، به خصوص در نحوه پیاده‌سازی و ایمن‌سازی اینترفیس‌های RPC و رفتار سمت کلاینت LDAP. این آسیب‌پذیری‌ها روی فایل‌های حیاتی مثل lsass.exe، spoolsv.exe و wldap32.dll تاثیر میذارن و از فرضیاتی سوءاستفاده میکنن که در خود پلتفرم جا افتاده: اینکه اینترفیس‌های RPC به ندرت در مقیاس بزرگ مورد سوءاستفاده قرار میگیرن، کلاینت‌های LDAP تحت کنترل مهاجم نیستن، و منطق داخلی نیازی به در نظر گرفتن تهدیدات همزمانی یا خستگی منابع نداره.

محقق‌ها نشون دادن که چطور مهاجم‌ها میتونن خود پلتفرم ویندوز رو دستکاری کنن تا همزمان هم قربانی و هم سلاح باشه و دامین کنترلرها رو بدون نیاز به اجرای کد یا اطلاعات ورود، به شرکت‌کنندگان در یک بات‌نت تبدیل کنن. این یافته‌ها مستقیما تضمین‌های امنیتی که توسعه‌دهنده‌ها و مدافعان با پلتفرم ویندوز مرتبط میدونن رو به چالش میکشن و بینش‌های جدیدی برای مقاوم‌سازی در سطح سیستم عامل ارائه میدن.

قبل از اینکه این آسیب‌پذیری‌ها اصلاح بشن، میتونستن حملات سایبری قدرتمندی با عواقب دنیای واقعی ایجاد کنن، مثل متوقف کردن عملیات یه سازمان، آسیب رسوندن به زیرساخت‌های حیاتی، مختل کردن عملکرد تجهیزات پزشکی، یا حتی برای متهم کردن دولت‌ها به حملات سایبری استفاده بشن.

این یافته‌ها چندین نکته مهم رو یادآوری میکنن:

  • نقاط کوری وجود دارن که در اونها بررسی‌های امنیتی اولیه و بهترین شیوه‌ها، اونطور که ما تصور میکنیم، وجود ندارن. اگه کدی بتونه از راه دور اجرا بشه، سازمان‌ها و فروشنده‌ها باید اطمینان حاصل کنن که اقدامات امنیتی قوی برای بدترین سناریوها و مصرف منابع وجود داره.
  • سازمان‌ها باید فرض کنن که همه سرورها و کامپیوترهاشون میتونن هدف حملات DDoS قرار بگیرن، چه عمومی باشن و چه داخلی. در پاسخ، اونها باید روش‌های کاهش مناسبی برای چنین حملاتی در زیرساخت خودشون تنظیم کنن.
  • سرورها میتونن به کلاینت تبدیل بشن و توسط مهاجم‌ها برای ساختن یه تصویر دروغین از واقعیت یا استفاده از منابعی که در اختیار ندارن، برای اهداف مخرب به کار گرفته بشن. برای مثال، مهاجم‌ها میتونن از آسیب‌پذیری Win-DDoS برای تحریک دامین کنترلرهای یه کشور خاص برای حمله به یه کشور دیگه استفاده کنن تا یه سازمان دولتی رو برای اهداف سیاسی مقصر جلوه بدن.

پاسخ فروشنده و افشای مسئولانه

شرکت سیف‌بریچ به افشای مسئولانه متعهده. در راستای این تعهد، اونها یافته‌های تحقیقاتی خودشون رو در مارس ۲۰۲۵ به مایکروسافت اطلاع دادن. مایکروسافت همه آسیب‌پذیری‌های گزارش شده رو برطرف کرد و سیف‌بریچ از همکاری اونها تشکر کرده. علاوه بر این، اونها تحقیقات خودشون رو به صورت عمومی در کنفرانس دف‌کان ۳۳ و از طریق وبلاگ‌شون با جامعه امنیتی به اشتراک گذاشتن تا به سازمان‌ها و کاربران نهایی کمک کنن خطرات مرتبط با این آسیب‌پذیری‌ها رو بهتر درک کنن. اونها همچنین یک مخزن تحقیق در گیت‌هاب ارائه دادن که شامل ابزارها و اکسپلویت‌های مورد بحث در این تحقیق برای تحقیقات و توسعه بیشتره.

منابع

  • [1] New Win-DDoS Flaws Let Attackers Turn Public Domain Controllers into DDoS Botnet via RPC, LDAP
  • [2] Win-DoS Epidemic: Abusing RPC for DoS & DDoS Research | SafeBreach
  • [3] Win-DoS Epidemic: New DoS and DDoS Attacks Start with Microsoft Windows
  • [4] New Win-DDoS Flaws Let Attackers Turn Public Domain Controllers into DDoS Botnet via RPC, LDAP – Onsite Computing, Inc.

دیدگاه‌ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نوشته‌های بیشتر