LAS VEGAS-En la Conferencia de Seguridad DEF CON 33, los investigadores Yair y Shahak Morag de SafeBreach Labs dieron a conocer una nueva clase de ataques de negación de servicio (DOS), denominaron la “epidemia de ganancias-dos”.
El dúo presentó sus hallazgos, que incluyen cuatro nuevas vulnerabilidades de Windows DOS y un defecto de negación de servicio distribuido por cero clic (DDoS).
Los defectos descubiertos, todos los cuales se clasifican como “consumo de recursos no controlados”, incluyen:
CVE-2025-26673 (CVSS 7.5): una vulnerabilidad DOS de alta severidad en Windows LDAP. CVE-2025-32724 (CVSS 7.5): una vulnerabilidad DOS de alta severidad en Windows LSASS.
CVE-2025-49716 (CVSS 7.5): una vulnerabilidad de DOS de alta severidad en Windows NetLogon.
CVE-2025-49722 (CVSS 5.7): Una vulnerabilidad de DOS de severidad media en el boteador de impresión de Windows, que requiere un atacante autenticado en una red adyacente.
El investigación Demuestra cómo los atacantes pueden bloquear cualquier punto final o servidor de Windows, incluidos los controladores de dominio críticos (DC) e incluso el armamento de DCS públicos para crear una botnet masiva DDOS.
“Presentamos” Win-DOS Epidemic “: herramientas de DOS que explotan cuatro nuevos Win-Dos y un Win-DDOS Cero Click Vulns! Crash cualquier punto final/servidor de Windows, incluidos DCS, o lanza una botnet usando DCS públicos para DDoS. La epidemia ha comenzado”, dijeron los investigadores.
Los peligros de DOS en los controladores de dominio
Los controladores de dominio son la columna vertebral de la mayoría de las redes organizacionales, manejando la autenticación y la centralización de los usuarios y la gestión de recursos.
Un exitoso ataque de DOS contra un DC puede paralizar una organización completa, lo que hace imposible que los usuarios inicien sesión, accedan a recursos o realicen operaciones diarias.
El trabajo de los investigadores se basa en su descubrimiento anterior, la vulnerabilidad de LDAPNightmare (CVE-2024-49113), que fue la primera explotación pública de DOS para un DC de Windows. Los nuevos hallazgos amplían esta amenaza significativamente, yendo más allá de LDAP para abusar de otros servicios de Windows Core.
Una nueva botnet que aprovecha la infraestructura pública
El descubrimiento más alarmante es una nueva técnica DDOS, que los investigadores han llamado Win-DDOS. Este ataque aprovecha un defecto en el proceso de referencia del cliente LDAP de Windows.
En una operación normal, una referencia LDAP dirige a un cliente a un servidor diferente para cumplir con una solicitud. Yair y Morag descubrieron que al manipular este proceso, podrían redirigir DCS a un servidor de víctimas, y de manera crucial, encontraron una manera de hacer que los DC repitan implacablemente esta redirección.
Este comportamiento le permite a un atacante aprovechar el inmenso poder de decenas de miles de DC públicas en todo el mundo, convirtiéndolos en una botnet DDOS masiva, libre y imposible de rastrear.
El ataque no requiere una infraestructura especial y no deja un sendero forense, ya que la actividad maliciosa se origina en los DC comprometidos, no la máquina del atacante.
Esta técnica representa un cambio significativo en los ataques DDoS, ya que permite ataques de alto ancho de banda y alto volumen sin los costos o riesgos típicos asociados con la configuración y el mantenimiento de una botnet.
Abusar de RPC para bloqueos del sistema
Además de la botnet DDOS, los investigadores se centraron en el protocolo de llamada de procedimiento remoto (RPC), que es un componente fundamental de Windows para la comunicación entre procesos.
Los servidores RPC son ubicuos en el entorno de Windows y, a menudo, tienen amplias superficies de ataque, especialmente aquellos que no requieren autenticación.
El Equipo de SafeBreach encontrado que al abusar de las brechas de seguridad en los enlaces RPC, podrían alcanzar repetidamente el mismo servidor RPC desde un solo sistema, evitando efectivamente los límites de concurrencia estándar.
Este método les permitió descubrir tres nuevas vulnerabilidades de DOS no autenticadas con clic cero que puede bloquear cualquier sistema de Windows, propietarios y puntos finales por igual.
También encontraron otro defecto de DOS que puede ser explotado por cualquier usuario autenticado en la red.
Estas vulnerabilidades rompen los supuestos comunes de que los sistemas internos están a salvo del abuso sin un compromiso completo, lo que demuestra que incluso una presencia mínima en una red puede usarse para causar una falla operativa generalizada.
Los investigadores han publicado un conjunto de herramientas, llamadas colectivamente “Epidemia de Win-Dos”, que explotan estas cinco nuevas vulnerabilidades. Las herramientas se pueden usar para bloquear cualquier punto final o servidor de Windows sin parpadeo de forma remota, o para orquestar una botnet Win-DDOS utilizando DC públicos.
Estos hallazgos subrayan la necesidad crítica de que las organizaciones reevalúen sus modelos de amenazas y posturas de seguridad, particularmente con respecto a los sistemas y servicios internos como DC.
Desde entonces, Microsoft ha lanzado parches para la vulnerabilidad de LDAPNightMare, pero los nuevos descubrimientos resaltan la necesidad continua de vigilancia y validación de seguridad continua.
¡Encuentra esta noticia interesante! Séguenos Google News, LinkedIny incógnita ¡Para obtener actualizaciones instantáneas!
