Epidemia de Win-DoS: nuevos ataques DoS y DDoS comienzan con Microsoft Windows

Redazione RHC : 11 agosto 2025 09:06

Durante la conferencia de seguridad DEF CON33, un equipo de especialistas del sector, Yair y Shahak Morag, de SafeBreach Labs, presentó una nueva categoría de ataques de denegación de servicio (DoS), denominada la «Epidemia Win-DoS». La investigación demuestra cómo los atacantes pueden inutilizar cualquier punto final o servidor de Windows, incluidos los controladores de dominio (DC) críticos, e incluso utilizar controladores de dominio públicos como arma para crear una botnet DDoS a gran escala.

Sus hallazgos, que incluyen cuatro vulnerabilidades de DoS en Windows y un ataque de denegación de servicio distribuido (DDoS), Los dos investigadores presentaron ataques que se pueden activar sin un clic. Las vulnerabilidades descubiertas, todas clasificadas como «consumo incontrolado de recursos», incluyen:

• CVE-2025-26673 (CVSS 7.5): Una vulnerabilidad de denegación de servicio de alta gravedad en Windows LDAP.
• CVE-2025-32724 (CVSS 7.5): Una vulnerabilidad de denegación de servicio (DoS) de alta gravedad en Windows LSASS.
• CVE-2025-49716 (CVSS 7.5): Una vulnerabilidad de denegación de servicio (DoS) de alta gravedad en Windows Netlogon.
• CVE-2025-49722 (CVSS 5.7): Una vulnerabilidad de denegación de servicio (DoS) de gravedad media en el administrador de trabajos de impresión de Windows, que requiere un atacante autenticado en una red adyacente.

Un ataque DoS exitoso contra un controlador de dominio (DC) puede paralizar a toda una organización, impidiendo que los usuarios inicien sesión, accedan a recursos o realicen operaciones diarias. «Presentamos la ‘Epidemia Win-DoS’: Herramientas DoS que explotan cuatro nuevas vulnerabilidades Win-DoS sin clic y un Win-DDoS! Bloquean cualquier punto final/servidor de Windows, incluidos los controladores de dominio, o lanzan una botnet utilizando controladores de dominio públicos para ataques DDoS. La epidemia ha comenzado», afirmaron los investigadores.

Los controladores de dominio constituyen la columna vertebral de la mayoría de las redes empresariales, gestionando la autenticación y centralizando la gestión de usuarios y recursos. El trabajo de los investigadores se basa en su descubrimiento previo, la vulnerabilidad LdapNightmare (CVE-2024-49113), que fue el primer exploit DoS público para un controlador de dominio de Windows. Los nuevos hallazgos amplían significativamente esta amenaza, trascendiendo LDAP y abusando de otros servicios esenciales de Windows.

Este comportamiento permite a un atacante aprovechar el inmenso poder de decenas de miles de centros de datos públicos en todo el mundo, convirtiéndolos en una botnet DDoS masiva, gratuita e imposible de rastrear. El ataque no requiere una infraestructura especial ni deja rastros forenses, ya que la actividad maliciosa se origina en los centros de datos comprometidos, no en el equipo del atacante.

El descubrimiento más alarmante es la nueva técnica DDoS, que los investigadores han denominado Win-DDoS. Este ataque explota una falla en el proceso de referencia de cliente LDAP de Windows. En condiciones normales, una referencia LDAP dirige a un cliente a un servidor diferente para completar una solicitud. Yair y Morag descubrieron que, al manipular este proceso, podían redirigir los controladores de dominio a un servidor víctima y, crucialmente, encontraron la manera de hacer que los controladores de dominio repitieran esta redirección incesantemente.

Esta técnica representa un cambio significativo en los ataques DDoS, ya que permite ataques de gran ancho de banda y gran volumen sin los costos ni riesgos típicos asociados con la configuración y el mantenimiento de una botnet.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli