تهديدات

ثغرة Win-DDoS تحول وحدات التحكم بالمجال العام إلى أدوات لهجمات DDoS

ثغرات جديدة في LDAP وLSASS وNetlogon وPrint Spooler تكشف مخاطر غير مسبوقة على مرونة المؤسسات

تم النشر في Aug. 12, 2025

ثغرة Win-DDoS تحول وحدات التحكم بالمجال العام إلى أدوات لهجمات DDoS — هجمات سيبرانية، ثغرات أمنية، برمجيات، شبكات، خوادم، حماية البيانات، استغلال، حجب الخدمة، بوت نت، أمن المعلومات، اختراق، أنظمة تشغيل.

كشف باحثو شركة SafeBreach عن تقنية هجوم جديدة أطلقوا عليها اسم Win-DDoS، يمكن استغلالها لتجنيد آلاف وحدات التحكم بالمجال العامة حول العالم وتحويلها إلى شبكة Botnet لتنفيذ هجمات حجب الخدمة الموزعة عالية القدرة. وقد عُرضت النتائج خلال مؤتمر DEF CON 33 للأمن السيبراني.

أوضح الباحثان أن تحليل كود عميل Windows LDAP كشف عن خلل جوهري يسمح بالتلاعب بعملية إحالة العناوين في النظام لتوجيه وحدات التحكم بالمجال نحو خادم ضحية بهدف إنهاكه. النتيجة هي قدرة المهاجم على استغلال موارد ضخمة ورفع معدلات الإرسال، دون الحاجة لشراء أي بنية تحتية أو ترك أثر قابل للتتبع.

الهجوم يحول منصة Windows إلى ضحية وسلاح في آن واحد، دون الحاجة إلى تنفيذ تعليمات برمجية أو الحصول على بيانات اعتماد. تبدأ العملية بإرسال استدعاء RPC لوحدات التحكم بالمجال، يدفعها إلى العمل كعملاء CLDAP. بعدها يتم إرسال طلب CLDAP إلى خادم المهاجم الذي يرد بقائمة إحالات LDAP طويلة تشير جميعها إلى منفذ واحد على عنوان IP محدد، مما يؤدي إلى سلسلة متكررة من طلبات الاتصال حتى استنفاد القائمة، مكونة بذلك تأثير DDoS مبتكر.

ما يميز Win-DDoS هو عرض النطاق الترددي العالي وإمكانية التنفيذ دون شراء خوادم أو اختراق أجهزة، مما يسمح للمهاجمين بالبقاء بعيدا عن الرصد. كما أظهر التحليل أن بالإمكان التسبب بانهيار LSASS أو إعادة تشغيل الجهاز أو شاشة الموت الزرقاء عبر إرسال قوائم إحالات طويلة تستنزف الذاكرة، مع غياب حدود لحجم القائمة.

الباحثون أشاروا أيضا إلى إمكانية استغلال بروتوكول RPC في هجوم TorpeDoS، وهو أسلوب يحقق تأثير DDoS باستخدام جهاز واحد فقط عبر رفع معدل استدعاءات RPC بشكل كبير ليعادل تأثير آلاف الأجهزة.

كما تم اكتشاف ثلاث ثغرات DoS جديدة في كود معالجة طلبات العملاء يمكنها إسقاط وحدات التحكم بالمجال دون الحاجة لمصادقة، إضافة إلى ثغرة رابعة تتيح لأي مستخدم مصدق إسقاط وحدة تحكم أو جهاز ضمن النطاق. هذه الثغرات تشمل:

CVE-2025-26673 في LDAP
CVE-2025-32724 في LSASS
CVE-2025-49716 في Netlogon
CVE-2025-49722 في Print Spooler

توضح النتائج أن هذه الثغرات، المشابهة لثغرة LDAPNightmare التي كُشفت مطلع العام، تكسر افتراضات شائعة في نماذج التهديد المؤسسي، حيث تبيّن أن هجمات DoS لا تقتصر على الخدمات العامة، وأن الأنظمة الداخلية معرضة للاستغلال حتى دون اختراق كامل. وتبرز الحاجة الملحة لإعادة تقييم خطط المرونة والدفاع المؤسسية.