Falha Win-DDoS: Entenda o risco e proteja seus servidores

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...

Pesquisadores da SafeBreach revelam como Controladores de Domínio podem ser sequestrados para ataques DDoS massivos sem necessidade de autenticação.

Na DEF CON 33, pesquisadores da SafeBreach apresentaram uma descoberta alarmante: a falha Win-DDoS, uma técnica que permite sequestrar Controladores de Domínio (DCs) Windows expostos à internet para realizar ataques massivos de negação de serviço (DDoS).

O mais preocupante? Esse método não exige autenticação nem execução de código no servidor-alvo. Basta que o DC esteja acessível externamente para que seja explorado, transformando a própria infraestrutura corporativa em uma arma contra terceiros.

Neste artigo, vamos explicar o que é a vulnerabilidade Win-DDoS, como ela funciona explorando protocolos confiáveis como LDAP e RPC, quais CVE estão associadas e, principalmente, como se proteger dessa ameaça emergente.

Falha Win-DDoS

O que é o Win-DDoS e como ele funciona?

A técnica Win-DDoS é, essencialmente, um abuso do papel de um Controlador de Domínio para transformá-lo em um amplificador de tráfego DDoS.

Controladores de Domínio são peças centrais de redes corporativas Windows, responsáveis por autenticação, gerenciamento de identidades e aplicação de políticas. Justamente por isso, eles usam protocolos fundamentais, mas visados por atacantes.

A arma secreta: abuso dos protocolos RPC e LDAP

O RPC (Remote Procedure Call) permite que sistemas executem funções e comandos remotamente, de forma transparente. Já o LDAP (Lightweight Directory Access Protocol) é usado para consultar e modificar diretórios, como o Active Directory.

O problema é que, quando expostos à internet, esses serviços podem ser abusados para enviar grandes volumes de dados a um alvo definido pelo invasor. É exatamente isso que o Win-DDoS explora.

O fluxo do ataque passo a passo

O ataque descrito pela SafeBreach segue esta sequência:

  1. O invasor envia uma chamada RPC a um DC vulnerável.
  2. O DC, acreditando tratar-se de uma solicitação legítima, faz uma consulta CLDAP a um servidor controlado pelo atacante.
  3. Esse servidor responde com uma referência LDAP apontando para um servidor malicioso.
  4. O servidor malicioso envia ao DC uma lista massiva de URLs de referência, que são então encaminhadas para a vítima final.
  5. O resultado: sobrecarga total do servidor alvo, causando lentidão extrema ou indisponibilidade.

O impacto real: mais do que apenas um ataque DDoS

Embora o principal efeito seja um ataque de negação de serviço em larga escala, o Win-DDoS também revelou vulnerabilidades que afetam diretamente a estabilidade dos próprios servidores Windows.

Travando sistemas com listas de referência infinitas

Pesquisadores descobriram que é possível manipular listas de referência enviadas ao DC para provocar consumo excessivo de memória no processo LSASS (Local Security Authority Subsystem Service).

Isso pode resultar em travamentos, reinicializações inesperadas e até na Tela Azul da Morte (BSoD) — interrompendo operações críticas em ambientes corporativos.

Ataques de clique-zero e não autenticados: o maior perigo

O Win-DDoS é classificado como um ataque de clique-zero — ou seja, não requer interação da vítima. Além disso, em muitos casos, não exige autenticação, tornando-o extremamente perigoso mesmo contra sistemas teoricamente “seguros” por estarem protegidos contra acessos externos não autorizados.

As vulnerabilidades reveladas (CVEs) e suas correções

Durante a pesquisa, foram identificadas diversas vulnerabilidades exploráveis pela técnica Win-DDoS, todas corrigidas pela Microsoft entre maio e julho de 2025:

  • CVE-2025-26673 – Negação de serviço via LDAP.
  • CVE-2025-32724 – Negação de serviço via LSASS.
  • CVE-2025-49716 – Negação de serviço via Netlogon.
  • CVE-2025-49722 – Negação de serviço via Spooler de Impressão.

Essas correções já estão disponíveis nos boletins de segurança da Microsoft, e aplicá-las é fundamental para evitar que servidores sejam sequestrados para ataques.

Conclusão: defendendo-se da ameaça Win-DDoS

A descoberta da técnica Win-DDoS representa um alerta crítico para administradores e equipes de segurança: até serviços confiáveis e essenciais, como LDAP e RPC, podem ser transformados em vetores de ataque devastadores.

Administradores de sistema e equipes de segurança devem auditar imediatamente a exposição pública de seus Controladores de Domínio e aplicar as atualizações de segurança que corrigem as CVEs listadas.

Ignorar essa ameaça significa correr o risco de ter sua própria infraestrutura usada como arma em ataques globais — e, no pior cenário, enfrentar paralisações internas causadas pelos mesmos mecanismos que alimentam o ataque.

Compartilhe este artigo