CibersegurançaNotícias

Falha Win-DDoS: Entenda o risco e proteja seus servidores

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Maioria dos ataques DDoS vem de computadores

Pesquisadores da SafeBreach revelam como Controladores de Domínio podem ser sequestrados para ataques DDoS massivos sem necessidade de autenticação.

Na DEF CON 33, pesquisadores da SafeBreach apresentaram uma descoberta alarmante: a falha Win-DDoS, uma técnica que permite sequestrar Controladores de Domínio (DCs) Windows expostos à internet para realizar ataques massivos de negação de serviço (DDoS).

Conteúdo

O mais preocupante? Esse método não exige autenticação nem execução de código no servidor-alvo. Basta que o DC esteja acessível externamente para que seja explorado, transformando a própria infraestrutura corporativa em uma arma contra terceiros.

Neste artigo, vamos explicar o que é a vulnerabilidade Win-DDoS, como ela funciona explorando protocolos confiáveis como LDAP e RPC, quais CVE estão associadas e, principalmente, como se proteger dessa ameaça emergente.

Falha Win-DDoS

O que é o Win-DDoS e como ele funciona?

A técnica Win-DDoS é, essencialmente, um abuso do papel de um Controlador de Domínio para transformá-lo em um amplificador de tráfego DDoS.

Controladores de Domínio são peças centrais de redes corporativas Windows, responsáveis por autenticação, gerenciamento de identidades e aplicação de políticas. Justamente por isso, eles usam protocolos fundamentais, mas visados por atacantes.

A arma secreta: abuso dos protocolos RPC e LDAP

O RPC (Remote Procedure Call) permite que sistemas executem funções e comandos remotamente, de forma transparente. Já o LDAP (Lightweight Directory Access Protocol) é usado para consultar e modificar diretórios, como o Active Directory.

O problema é que, quando expostos à internet, esses serviços podem ser abusados para enviar grandes volumes de dados a um alvo definido pelo invasor. É exatamente isso que o Win-DDoS explora.

O fluxo do ataque passo a passo

O ataque descrito pela SafeBreach segue esta sequência:

  1. O invasor envia uma chamada RPC a um DC vulnerável.
  2. O DC, acreditando tratar-se de uma solicitação legítima, faz uma consulta CLDAP a um servidor controlado pelo atacante.
  3. Esse servidor responde com uma referência LDAP apontando para um servidor malicioso.
  4. O servidor malicioso envia ao DC uma lista massiva de URLs de referência, que são então encaminhadas para a vítima final.
  5. O resultado: sobrecarga total do servidor alvo, causando lentidão extrema ou indisponibilidade.

O impacto real: mais do que apenas um ataque DDoS

Embora o principal efeito seja um ataque de negação de serviço em larga escala, o Win-DDoS também revelou vulnerabilidades que afetam diretamente a estabilidade dos próprios servidores Windows.

Travando sistemas com listas de referência infinitas

Pesquisadores descobriram que é possível manipular listas de referência enviadas ao DC para provocar consumo excessivo de memória no processo LSASS (Local Security Authority Subsystem Service).

Isso pode resultar em travamentos, reinicializações inesperadas e até na Tela Azul da Morte (BSoD) — interrompendo operações críticas em ambientes corporativos.

Ataques de clique-zero e não autenticados: o maior perigo

O Win-DDoS é classificado como um ataque de clique-zero — ou seja, não requer interação da vítima. Além disso, em muitos casos, não exige autenticação, tornando-o extremamente perigoso mesmo contra sistemas teoricamente “seguros” por estarem protegidos contra acessos externos não autorizados.

As vulnerabilidades reveladas (CVEs) e suas correções

Durante a pesquisa, foram identificadas diversas vulnerabilidades exploráveis pela técnica Win-DDoS, todas corrigidas pela Microsoft entre maio e julho de 2025:

  • CVE-2025-26673 – Negação de serviço via LDAP.
  • CVE-2025-32724 – Negação de serviço via LSASS.
  • CVE-2025-49716 – Negação de serviço via Netlogon.
  • CVE-2025-49722 – Negação de serviço via Spooler de Impressão.

Essas correções já estão disponíveis nos boletins de segurança da Microsoft, e aplicá-las é fundamental para evitar que servidores sejam sequestrados para ataques.

Conclusão: defendendo-se da ameaça Win-DDoS

A descoberta da técnica Win-DDoS representa um alerta crítico para administradores e equipes de segurança: até serviços confiáveis e essenciais, como LDAP e RPC, podem ser transformados em vetores de ataque devastadores.

Administradores de sistema e equipes de segurança devem auditar imediatamente a exposição pública de seus Controladores de Domínio e aplicar as atualizações de segurança que corrigem as CVEs listadas.

Ignorar essa ameaça significa correr o risco de ter sua própria infraestrutura usada como arma em ataques globais — e, no pior cenário, enfrentar paralisações internas causadas pelos mesmos mecanismos que alimentam o ataque.

TAGGED:
Compartilhe este artigo
Artigo anterior Logomarca do Gemini Falha no Gemini via Google Agenda permitia roubo de dados
Próximo artigo Logo KDE Plasma 6.5 sobre fundo abstrato, destacando visual moderno da nova versão do ambiente Linux” KDE Plasma 6.5 terá ‘toggles rápidos’ nas configurações e integração direta com o Flathub
Kernel

Linus Torvalds rejeita duramente as atualizações do RISC-V para o Linux 6.17, chama código de “lixo”

Rejeição dura expõe padrões do kernel: atraso e “código lixo” no RISC-V

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto