Na DEF CON 33, pesquisadores da SafeBreach apresentaram uma descoberta alarmante: a falha Win-DDoS, uma técnica que permite sequestrar Controladores de Domínio (DCs) Windows expostos à internet para realizar ataques massivos de negação de serviço (DDoS).
O mais preocupante? Esse método não exige autenticação nem execução de código no servidor-alvo. Basta que o DC esteja acessível externamente para que seja explorado, transformando a própria infraestrutura corporativa em uma arma contra terceiros.
Neste artigo, vamos explicar o que é a vulnerabilidade Win-DDoS, como ela funciona explorando protocolos confiáveis como LDAP e RPC, quais CVE estão associadas e, principalmente, como se proteger dessa ameaça emergente.

O que é o Win-DDoS e como ele funciona?
A técnica Win-DDoS é, essencialmente, um abuso do papel de um Controlador de Domínio para transformá-lo em um amplificador de tráfego DDoS.
Controladores de Domínio são peças centrais de redes corporativas Windows, responsáveis por autenticação, gerenciamento de identidades e aplicação de políticas. Justamente por isso, eles usam protocolos fundamentais, mas visados por atacantes.
A arma secreta: abuso dos protocolos RPC e LDAP
O RPC (Remote Procedure Call) permite que sistemas executem funções e comandos remotamente, de forma transparente. Já o LDAP (Lightweight Directory Access Protocol) é usado para consultar e modificar diretórios, como o Active Directory.
O problema é que, quando expostos à internet, esses serviços podem ser abusados para enviar grandes volumes de dados a um alvo definido pelo invasor. É exatamente isso que o Win-DDoS explora.
O fluxo do ataque passo a passo
O ataque descrito pela SafeBreach segue esta sequência:
- O invasor envia uma chamada RPC a um DC vulnerável.
- O DC, acreditando tratar-se de uma solicitação legítima, faz uma consulta CLDAP a um servidor controlado pelo atacante.
- Esse servidor responde com uma referência LDAP apontando para um servidor malicioso.
- O servidor malicioso envia ao DC uma lista massiva de URLs de referência, que são então encaminhadas para a vítima final.
- O resultado: sobrecarga total do servidor alvo, causando lentidão extrema ou indisponibilidade.
O impacto real: mais do que apenas um ataque DDoS
Embora o principal efeito seja um ataque de negação de serviço em larga escala, o Win-DDoS também revelou vulnerabilidades que afetam diretamente a estabilidade dos próprios servidores Windows.
Travando sistemas com listas de referência infinitas
Pesquisadores descobriram que é possível manipular listas de referência enviadas ao DC para provocar consumo excessivo de memória no processo LSASS (Local Security Authority Subsystem Service).
Isso pode resultar em travamentos, reinicializações inesperadas e até na Tela Azul da Morte (BSoD) — interrompendo operações críticas em ambientes corporativos.
Ataques de clique-zero e não autenticados: o maior perigo
O Win-DDoS é classificado como um ataque de clique-zero — ou seja, não requer interação da vítima. Além disso, em muitos casos, não exige autenticação, tornando-o extremamente perigoso mesmo contra sistemas teoricamente “seguros” por estarem protegidos contra acessos externos não autorizados.
As vulnerabilidades reveladas (CVEs) e suas correções
Durante a pesquisa, foram identificadas diversas vulnerabilidades exploráveis pela técnica Win-DDoS, todas corrigidas pela Microsoft entre maio e julho de 2025:
- CVE-2025-26673 – Negação de serviço via LDAP.
- CVE-2025-32724 – Negação de serviço via LSASS.
- CVE-2025-49716 – Negação de serviço via Netlogon.
- CVE-2025-49722 – Negação de serviço via Spooler de Impressão.
Essas correções já estão disponíveis nos boletins de segurança da Microsoft, e aplicá-las é fundamental para evitar que servidores sejam sequestrados para ataques.
Conclusão: defendendo-se da ameaça Win-DDoS
A descoberta da técnica Win-DDoS representa um alerta crítico para administradores e equipes de segurança: até serviços confiáveis e essenciais, como LDAP e RPC, podem ser transformados em vetores de ataque devastadores.
Administradores de sistema e equipes de segurança devem auditar imediatamente a exposição pública de seus Controladores de Domínio e aplicar as atualizações de segurança que corrigem as CVEs listadas.
Ignorar essa ameaça significa correr o risco de ter sua própria infraestrutura usada como arma em ataques globais — e, no pior cenário, enfrentar paralisações internas causadas pelos mesmos mecanismos que alimentam o ataque.