Uma descoberta alarmante na segurança de sistemas Windows acaba de revolucionar o cenário de ataques DDoS. A técnica Win-DDoS, apresentada recentemente na conferência DEF CON 33, demonstra como falhas no protocolo LDAP podem transformar milhares de controladores de domínio públicos em uma botnet massiva para ataques distribuídos.
O Que É o Win-DDoS e Como Funciona
O Win-DDoS representa uma evolução perigosa nos ataques de negação de serviço distribuído. Pesquisadores da SafeBreach, Or Yair e Shahak Morag, descobriram uma falha significativa no código cliente LDAP do Windows que permite manipular o processo de referenciamento de URL para direcionar controladores de domínio a um servidor vítima.
A técnica é revolucionária porque permite aos atacantes aproveitar o poder de dezenas de milhares de controladores de domínio públicos ao redor do mundo para criar uma botnet maliciosa com vastos recursos, sem comprar nada e sem deixar rastros.
Como o Ataque Se Desenvolve
O fluxo do ataque Win-DDoS segue uma sequência específica e devastadoramente eficaz:
Primeira Etapa – Inicialização RPC: O atacante envia uma chamada RPC para controladores de domínio que os transforma em clientes CLDAP. Esta etapa não requer autenticação ou execução de código malicioso nos sistemas-alvo.
Segunda Etapa – Redirecionamento CLDAP: Os controladores de domínio enviam a solicitação CLDAP para o servidor CLDAP do atacante, que retorna uma resposta de referência direcionando os DCs para o servidor LDAP do atacante para alternar de UDP para TCP.
Terceira Etapa – Consulta LDAP: Os controladores de domínio então enviam a consulta LDAP para o servidor LDAP do atacante via TCP, estabelecendo uma comunicação direta.
Quarta Etapa – Lista de Referências Maliciosas: O servidor LDAP do atacante responde com uma resposta de referência LDAP contendo uma longa lista de URLs de referência LDAP, todas apontando para uma única porta em um único endereço IP.
Quinta Etapa – Ataque Sustentado: Os controladores de domínio enviam consultas LDAP naquela porta, fazendo com que o servidor web que pode estar sendo servido via porta feche a conexão TCP. Uma vez que a conexão TCP é abortada, os DCs continuam para a próxima referência na lista, que aponta novamente para o mesmo servidor.
Vulnerabilidades Identificadas – CVEs Críticas
Neste artigo do blog Dolutech, é fundamental destacar que os pesquisadores identificaram múltiplas vulnerabilidades críticas que sustentam os ataques Win-DDoS. Foram descobertas quatro novas vulnerabilidades Windows DoS e uma falha DDoS zero-click distribuída:
CVE-2025-26673 (CVSS 7.5)
Consumo descontrolado de recursos no Windows Lightweight Directory Access Protocol (LDAP) permite que um atacante não autorizado negue serviço através da rede. Corrigida em maio de 2025.
CVE-2025-32724 (CVSS 7.5)
Consumo descontrolado de recursos no Windows Local Security Authority Subsystem Service (LSASS) permite que um atacante não autorizado negue serviço através da rede. Corrigida em junho de 2025.
CVE-2025-49716 (CVSS 7.5)
Consumo descontrolado de recursos no Windows Netlogon permite que um atacante não autorizado negue serviço através da rede. Corrigida em julho de 2025.
CVE-2025-49722 (CVSS 5.7)
Consumo descontrolado de recursos em componentes do Windows Print Spooler permite que um atacante autorizado negue serviço através de uma rede adjacente. Corrigida em julho de 2025.
Impacto Técnico e Operacional
A Dolutech analisou profundamente as implicações técnicas desta descoberta. Os controladores de domínio são a espinha dorsal da maioria das redes organizacionais, lidando com autenticação e centralizando o gerenciamento de usuários e recursos.
Características Únicas do Win-DDoS
Alta Eficiência de Recursos: O Win-DDoS tem alta largura de banda e não requer que um atacante compre infraestrutura dedicada. Nem necessita que eles violem quaisquer dispositivos, permitindo assim voar sob o radar.
Zero Infraestrutura Própria: Diferentemente de botnets tradicionais que requerem infecção de múltiplos dispositivos, o Win-DDoS utiliza a infraestrutura já existente dos controladores de domínio públicos.
Ausência de Rastros Forenses: O ataque não requer infraestrutura especial e não deixa rastro forense, pois a atividade maliciosa se origina dos DCs comprometidos, não da máquina do atacante.
Evolução do LDAPNightmare
Nós da Dolutech observamos que esta descoberta constrói sobre pesquisas anteriores. O trabalho dos pesquisadores se baseia em sua descoberta anterior, a vulnerabilidade LdapNightmare (CVE-2024-49113), que foi o primeiro exploit DoS público para um DC Windows.
Ampliação do Escopo de Ameaças
As novas descobertas expandem essa ameaça significativamente, movendo-se além apenas do LDAP para abusar de outros serviços centrais do Windows. Esta evolução representa uma escalada preocupante na sofisticação dos ataques contra infraestruturas Windows.
Exemplo Técnico: Processo de Referenciamento LDAP
Para ilustrar tecnicamente como o ataque funciona, consideremos o processo normal de referenciamento LDAP. Em operações normais, uma referência LDAP direciona um cliente para um servidor diferente para atender uma solicitação.
Os pesquisadores descobriram que, manipulando este processo, conseguiram redirecionar DCs para um servidor vítima e, crucialmente, encontraram uma maneira de fazer os DCs repetirem incansavelmente este redirecionamento.
Exploração do Processo de Referência
O ataque explora especificamente o fato de que não existem limites nos tamanhos das listas de referência e as referências não são liberadas da memória heap do DC até que a informação seja recuperada com sucesso.
Mitigações e Estratégias de Proteção
A Dolutech recomenda uma abordagem multicamada para proteger organizações contra ataques Win-DDoS:
Aplicação Imediata de Patches
Prioridade Crítica: Organizações devem aplicar imediatamente as correções lançadas pela Microsoft entre maio e julho de 2025. É essencial que as organizações apliquem os patches de dezembro de 2024 lançados pela Microsoft para vulnerabilidades relacionadas.
Configurações de Segurança LDAP
Channel Binding e Assinatura LDAP: A vinculação de canal LDAP e a assinatura LDAP fornecem maneiras de aumentar a segurança para comunicações entre clientes LDAP e controladores de domínio Active Directory.
Rejeição de Conexões Inseguras: A segurança dos controladores de domínio Active Directory pode ser significativamente melhorada configurando o servidor para rejeitar vinculações LDAP SASL que não solicitam assinatura ou para rejeitar vinculações simples LDAP realizadas em conexões de texto claro.
Monitoramento e Detecção
Implementação de Detecções: Em situações onde a aplicação imediata de patches não é possível, é aconselhável implementar detecções para monitorar respostas de referência CLDAP suspeitas, chamadas DsrGetDcNameEx2 suspeitas e consultas DNS SRV suspeitas.
Logs de Eventos: Organizações devem configurar logging detalhado para monitorar atividades LDAP incomuns e padrões de tráfego que possam indicar exploração Win-DDoS.
Isolamento de Rede
Segmentação de Controladores de Domínio: Sempre que possível, controladores de domínio devem ser isolados do acesso direto à internet e protegidos por firewalls configurados adequadamente.
VPN e Acesso Controlado: Se sua organização está enfrentando exposição de porta, você pode prevenir ataques baseados na internet protegendo todos os protocolos de diretório com opções de segurança de rede como uma VPN.
Ferramentas de Teste e Validação
Os pesquisadores da SafeBreach desenvolveram um conjunto de ferramentas denominado “Win-DoS Epidemic” que exploram essas cinco novas vulnerabilidades. As ferramentas podem ser usadas para derrubar qualquer endpoint ou servidor Windows não corrigido remotamente, ou para orquestrar uma botnet Win-DDoS usando DCs públicos.
Validação de Segurança
Organizações podem utilizar estas ferramentas em ambientes controlados para:
- Verificar se seus sistemas estão adequadamente protegidos
- Testar a eficácia das mitigações implementadas
- Validar configurações de segurança LDAP
- Avaliar a resiliência de controladores de domínio
Implicações para Modelagem de Ameaças
Esta descoberta força uma reavaliação fundamental dos modelos de ameaça empresariais. Essas descobertas enfatizam a necessidade crítica de organizações reavaliarem seus modelos de ameaça e posturas de segurança, particularmente em relação a sistemas e serviços internos como DCs.
Quebra de Suposições Tradicionais
As vulnerabilidades descobertas quebram suposições comuns na modelagem de ameaças empresariais: que riscos DoS se aplicam apenas a serviços públicos, e que sistemas internos estão seguros contra abuso a menos que totalmente comprometidos.
Contexto Histórico e Evolução
Neste artigo do blog Dolutech, é importante contextualizar que ataques baseados em LDAP não são completamente novos. CLDAP tem estado no radar para ataques DDoS pelo menos desde 2014, e recentemente em junho, CLDAP foi um componente de ataques DDoS importantes.
Diferencial do Win-DDoS
O que torna o Win-DDoS especialmente perigoso é sua capacidade de aproveitar o poder imenso de dezenas de milhares de DCs públicos em todo o mundo, transformando-os em uma botnet massiva, gratuita e não rastreável.
Recomendações da Dolutech
Como especialistas em cibersegurança, nós da Dolutech recomendamos as seguintes ações imediatas:
Ações Prioritárias
Inventário de Ativos: Identifique todos os controladores de domínio em sua infraestrutura e seus níveis de patch atuais.
Aplicação Emergencial de Patches: Priorize a aplicação dos patches de segurança relacionados às CVEs mencionadas em ambientes de teste antes da implementação em produção.
Revisão de Configurações: Audite configurações LDAP para garantir que channel binding e assinatura estejam adequadamente configurados.
Monitoramento Contínuo
Implementação de SIEM: Configure regras de correlação em sistemas SIEM para detectar padrões de tráfego LDAP anômalos.
Alertas Proativos: Estabeleça alertas para atividades de referenciamento LDAP suspeitas e conexões TCP anômalas.
Considerações de Compliance e Governança
Em um cenário onde leis como GDPR da UE, Lei DPDP da Índia e os crescentes mandatos de soberania de dados do Oriente Médio, organizações devem agora provar quem acessou quais dados, quando e por quê, a segurança de protocolos de identidade como LDAP torna-se ainda mais crítica.
Impacto Regulatório
A exposição de controladores de domínio a ataques Win-DDoS pode resultar em:
- Violações de compliance com regulamentações de proteção de dados
- Exposição não autorizada de informações de identidade
- Comprometimento de trilhas de auditoria essenciais
- Riscos de multas regulatórias significativas
Perspectiva da Indústria
Esta técnica representa uma mudança significativa nos ataques DDoS, pois permite ataques de alta largura de banda e alto volume sem os custos ou riscos típicos associados à configuração e manutenção de uma botnet.
Evolução das Ameaças
A descoberta do Win-DDoS demonstra como atacantes continuam evoluindo suas técnicas, aproveitando funcionalidades legítimas de protocolos estabelecidos para fins maliciosos. Isso destaca a importância de revisões contínuas de segurança mesmo em protocolos considerados maduros.
Ferramentas e Recursos para Proteção
Win-DoS Epidemic Toolkit
Os pesquisadores disponibilizaram um conjunto de ferramentas denominado “Win-DoS Epidemic” que permite às organizações:
- Testar vulnerabilidades em ambientes controlados
- Validar a eficácia de patches aplicados
- Simular ataques para avaliar resiliência
- Desenvolver contramedidas específicas
Detecção e Prevenção
Configuração de Logs Avançados: Implemente logging detalhado para capturar:
- Padrões de consulta LDAP anômalos
- Referenciamentos de URL suspeitos
- Conexões TCP repetitivas para o mesmo destino
- Consumo anômalo de recursos em controladores de domínio
Conclusão
A descoberta do Win-DDoS representa um marco preocupante na evolução das ameaças cibernéticas. As implicações para resiliência empresarial, modelagem de riscos e estratégias de defesa são significativas.
A capacidade de transformar controladores de domínio legítimos em armas de ataque sem comprometê-los diretamente desafia paradigmas fundamentais de segurança. Organizações devem agir rapidamente para aplicar patches, revisar configurações e implementar monitoramento adequado.
Como sempre enfatizamos na Dolutech, a segurança cibernética é um processo contínuo que requer vigilância constante e adaptação rápida a novas ameaças. O Win-DDoS é um lembrete poderoso de que mesmo protocolos estabelecidos podem harborecer vulnerabilidades devastadoras quando explorados criativamente por atacantes sofisticados.
A proteção efetiva contra Win-DDoS requer uma combinação de patches atualizados, configurações seguras, monitoramento proativo e uma compreensão profunda de como os protocolos LDAP e RPC funcionam em ambientes corporativos modernos.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
