Un nuovo vettore di attacco, denominato Win-DDoS, è stato identificato dai ricercatori di SafeBreach e rappresenta una minaccia significativa per la sicurezza dei sistemi Windows. Questa tecnica consente agli aggressori di sfruttare migliaia di Domain Controller pubblici (DC) su scala globale per creare una botnet malevola in grado di lanciare attacchi DDoS (Distributed Denial-of-Service) estremamente potenti, sfruttando protocolli come RPC e LDAP senza la necessità di compromettere dispositivi o ottenere credenziali.

L’attacco tramite referral LDAP

L’attacco si sviluppa sfruttando una falla nel codice client Windows LDAP che permette di manipolare il processo di referral URL, indirizzando i DC verso un server vittima con lo scopo di sovraccaricarlo. Il flusso dell’attacco prevede che l’attaccante invii una chiamata RPC ai DC, costringendoli a comportarsi come client CLDAP. Questi poi inviano richieste CLDAP al server controllato dall’attaccante, che risponde con un referral verso un server LDAP dell’attaccante stesso, inducendo il passaggio da UDP a TCP. Il server LDAP dell’attaccante fornisce poi una lista di referral molto lunga, tutti puntati verso la stessa porta e indirizzo IP della vittima, causando la chiusura ripetuta delle connessioni TCP e generando un traffico massivo e persistente.

Impatto e pericolosità di Win-DDoS

La pericolosità di Win-DDoS risiede nel fatto che non richiede di compromettere dispositivi o acquistare infrastrutture dedicate, permettendo agli attaccanti di passare inosservati. Inoltre, la tecnica può essere utilizzata per scatenare crash dei servizi LSASS, riavvii o blue screen of death sui Domain Controller inviando referral di dimensioni eccessive, sfruttando l’assenza di limiti sulla dimensione delle liste di referral e sul rilascio della memoria associata.

Nuove vulnerabilità e mitigazioni

SafeBreach ha evidenziato anche la possibilità di usare una tecnica chiamata TorpeDoS, che consente a un singolo computer di generare un impatto equivalente a quello di un classico attacco DDoS, migliorando drasticamente l’efficienza delle chiamate RPC.

Sono state inoltre individuate quattro nuove vulnerabilità di tipo denial-of-service (DoS) che colpiscono componenti strategici di Windows come LDAP, LSASS, Netlogon e Print Spooler, tre delle quali sfruttabili senza autenticazione e una accessibile a utenti autenticati. Microsoft ha corretto queste vulnerabilità tra maggio e luglio 2025, ma la gravità della situazione impone alle aziende di aggiornare tempestivamente i propri sistemi per evitare rischi di interruzione dei servizi e impatti sui processi aziendali.

Sistemi interni a rischio

Le scoperte mettono in discussione l’assunto che i rischi DoS riguardino solo servizi pubblici, mostrando come anche sistemi interni possano essere vulnerabili senza essere compromessi completamente.