ثغرات Win-DDoS تحول وحدات تحكم النطاق إلى بوتنت DDoS عبر RPC وLDAP

ما هي Win‑DDoS وما خطورتها؟

بدايةً، كشف الباحثان أور يائير وشاحاك موراغ في مؤتمر DEF CON 33 تقنية Win‑DDoS. هذه التقنية تتيح للمهاجم استخدام آلاف وحدات تحكّم النطاق (Domain Controllers) العامة لتوليد هجمات DDoS بعرض نطاق مرتفع. لذلك يعتمد المهاجم مباشرةً على سلوك LDAP/RPC في ويندوز بدل اختراق الأجهزة أو امتلاك صلاحيات. علاوةً على ذلك، تقلّل التقنية البصمة الرقمية لأن حركة المرور تخرج من أجهزة «شرعية»، وفي المحصلة يتحوّل النظام إلى سلاح وهدف في وقت واحد.

كيف يعمل الهجوم؟

أولًا، يرسل المهاجم نداء RPC يدفع وحدات التحكّم إلى التصرّف كعملاء CLDAP. بعد ذلك، يوجّه خادم CLDAP التابع له هذه الوحدات إلى خادم LDAP عبر إحالة (Referral). ثم يزوّد خادم LDAP كل وحدة بقائمة إحالات طويلة تشير، عمليًا، إلى منفذ واحد على عنوان IP مستهدف. نتيجةً لذلك، في كل مرة يغلق الخادم الهدف الاتصال؛ فتنتقل الوحدة مباشرةً إلى الإحالة التالية نحو الخادم نفسه. ومع استمرار المحاولات، تتابع الوحدات الاستعلام حتى تنفد القائمة؛ وخلال هذه الفترة تولّد الوحدات سيلًا متكرّرًا من الاتصالات التي تضغط على الخادم المستهدف وتنتج أثر DDoS قويًا من مصادر تبدو سليمة (تفصيل إضافي في تقرير SafeBreach).

TorpeDoS وثغرات DoS المصحَّحة في ويندوز

بالتوازي، قدّم الباحثان أسلوب TorpeDoS الذي يرفع معدّل نداءات RPC لدرجة تجعل جهازًا واحدًا يعادل أثر هجوم DDoS واسع. كما أعلنت مايكروسوفت خلال مايو، ثم يونيو، ثم يوليو 2025 إصلاح أربع ثغرات DoS مترابطة: CVE‑2025‑26673 في LDAP، وCVE‑2025‑32724 في LSASS، وCVE‑2025‑49716 في Netlogon (كلها تعمل عن بُعد دون مصادقة)، إضافةً إلى CVE‑2025‑49722 في «خدمة الطباعة» ويتطلّب مستخدمًا مُصادَقًا على شبكة مجاورة. لذلك تُظهر هذه السلسلة نقاطًا تصميمية حرجة في مكدّس ويندوز وتثبت أن الخطر لا يقتصر على الخدمات العامة.

ماذا تفعل المؤسسات الآن؟

أولًا، قلّل تعريض وحدات التحكّم للإنترنت وأوقف CLDAP إذا لم يكن ضروريًا. ثانيًا، فعّل قيود المعدّل ومراقبة الشذوذ على RPC/LDAP، ثم أضف قواعد جدار ناري دقيقة للمنافذ ذات الصلة. ثالثًا، ثبّت تحديثات الأمان الصادرة في مايو/يونيو/يوليو 2025 على جميع خوادم ويندوز، خصوصًا وحدات التحكّم بالنطاق. أخيرًا، راقب سجلات LDAP للإحالات الطويلة المتكرّرة، وأنشئ تنبيهات فورية عند ظهورها؛ وبهذه الخطوات ترفع المرونة وتغلق مساحة الاستغلال المرتبطة بـ Win‑DDoS وTorpeDoS.