Win-DDoS الجديدة تمكّن المهاجمين من تحويل خوادم التحكم بالمجال العامة إلى شبكة بوت نت لتنفيذ هجمات DDoS عبر بروتوكولات RPC وLDAP

Win-DDoS الجديدة تمكّن المهاجمين من تحويل خوادم التحكم بالمجال العامة إلى شبكة بوت نت لتنفيذ هجمات DDoS عبر بروتوكولات RPC وLDAP
Win-DDoS الجديدة تمكّن المهاجمين من تحويل خوادم التحكم بالمجال العامة إلى شبكة بوت نت لتنفيذ هجمات DDoS عبر بروتوكولات RPC وLDAP
شارك هذا الخبر

كشف باحثو الأمن السيبراني عن تقنية هجوم جديدة يمكن استغلالها لتحويل آلاف خوادم التحكم بالمجال (Domain Controllers – DCs) العامة حول العالم إلى شبكة بوت نت ضارة، تُستخدم لتنفيذ هجمات الحرمان من الخدمة الموزعة (DDoS) عالية القدرة.

الباحثان أور يائير وشاحاك موراج من شركة SafeBreach عرضا النتائج في مؤتمر DEF CON 33، وأطلقا على الهجوم اسم Win-DDoS.

استغلال ثغرة في عملية إحالة عناوين LDAP

أوضح الباحثان أنه أثناء فحصهما لكود عميل LDAP في نظام ويندوز، اكتشفا ثغرة تتيح التلاعب بعملية إحالة الروابط (URL referral)، ما يسمح بتوجيه خوادم التحكم بالمجال نحو خادم ضحية لإغراقه بالطلبات.

وتتمثل خطوات الهجوم فيما يلي:

  • يرسل المهاجم استدعاء RPC لخوادم DC لتتحول إلى عملاء CLDAP.

  • ترسل الخوادم طلب CLDAP إلى خادم المهاجم، الذي يرد بإحالة نحو خادم LDAP خاص به للتحويل من بروتوكول UDP إلى TCP.

  • يرد خادم LDAP التابع للمهاجم بقائمة إحالات طويلة، جميعها تشير إلى منفذ واحد على عنوان IP واحد.

  • ترسل الخوادم استعلامات متكررة إلى هذا المنفذ، مما يؤدي إلى استنزاف موارد الخادم المستهدف.

ما يميز هجوم Win-DDoS

  • لا يحتاج المهاجم لشراء بنية تحتية خاصة.

  • لا يتطلب اختراق الأجهزة أو الحصول على بيانات اعتماد.

  • يمكنه العمل دون ترك أثر رقمي واضح.

كما كشف التحليل أن هذه التقنية يمكن أن تتسبب في تعطل LSASS أو إعادة تشغيل النظام أو ظهور شاشة الموت الزرقاء (BSoD) عند إرسال قوائم إحالات ضخمة، مستغلين غياب قيود على حجم هذه القوائم وعدم تحرير الذاكرة قبل إتمام العملية.

دمج هجوم TorpeDoS مع Win-DDoS

نظرًا لاعتماد خوادم التحكم بالمجال على بروتوكول RPC، تمكن الباحثون من دمج تقنية جديدة أسموها TorpeDoS، والتي تسمح لجهاز واحد بتنفيذ هجوم مكافئ لقدرة شبكة ضخمة من الأجهزة في هجمات DDoS، وذلك بزيادة معدل استدعاءات RPC بشكل كبير.

ثغرات DoS المكتشفة في ويندوز

تم تحديد أربع ثغرات خطيرة تؤدي إلى استهلاك غير مضبوط للموارد، ما يسمح للمهاجمين بتنفيذ هجمات الحرمان من الخدمة:

  • CVE-2025-26673 – استهلاك غير مضبوط للموارد في بروتوكول LDAP (تم إصلاحه في مايو 2025).

  • CVE-2025-32724 – استهلاك غير مضبوط للموارد في خدمة LSASS (تم إصلاحه في يونيو 2025).

  • CVE-2025-49716 – استهلاك غير مضبوط للموارد في Netlogon (تم إصلاحه في يوليو 2025).

  • CVE-2025-49722 – استهلاك غير مضبوط للموارد في مكوّنات Print Spooler (تم إصلاحه في يوليو 2025).

تهديدات تتجاوز الافتراضات التقليدية

أشارت SafeBreach إلى أن هذه الثغرات “صفر نقرة”، ولا تتطلب مصادقة، ما يسمح للمهاجمين بإسقاط الأنظمة عن بُعد إذا كانت متاحة للعامة، أو استهداف البنية التحتية الداخلية بسهولة من داخل الشبكة.

وأضاف الباحثون أن هذه النتائج تكسر افتراضات شائعة في نماذج التهديد المؤسسية، حيث تبيّن أن مخاطر DoS لا تقتصر على الخدمات العامة، وأن الأنظمة الداخلية قد تكون عرضة للاستغلال حتى دون اختراق كامل.

وسوم
محمد طاهر
محمد طاهر
المقالات: 582

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة