『Win-DDoS』：研究者がWindowsドメインコントローラーを悪用するボットネット手法を公開

DEF CON 33にて、セキュリティ研究者たちは、武器化されたWindowsドメインコントローラー（DC）と、Windowsサービスに影響を与えるゼロクリック脆弱性のセットを利用した新しい分散型サービス拒否（DDoS）手法を実演しました。

「Win-DDoS」と名付けられたこの攻撃手法は、リモートプロシージャコール（RPC）フレームワークを利用して、内部ネットワーク上のドメインコントローラーや他のWindowsエンドポイントをリモートでクラッシュさせるものです。

「我々は、公開されているDCを利用して悪意のあるボットネットを作成できる新しいDDoS手法、認証不要でDCをクラッシュさせることができる3つの新たなDoS脆弱性、そして認証済みユーザーであれば任意のDCやドメイン内のWindowsコンピューターをクラッシュさせることができる新たなDoS脆弱性を発見しました」とSafeBreachの研究者はブログ投稿で述べています。

この発見は、SafeBreach Labsが1月に最初のPoCエクスプロイトを公開した、以前のWindows Lightweight Directory Access Protocol（LDAP）RCE脆弱性「LDAPNightmare」に関する追跡調査の一環として行われました。

攻撃者はクライアント側の死角を狙うことができる

クライアント側コンポーネントへの信頼がどのように悪用され得るかを実演する中で、Win-DDoSはLDAPリファラルメカニズムを操作し、DCに被害者が管理するエンドポイントへ繰り返しリクエストを送信させ、標的に意図しないネットワークトラフィックを大量に送りつけます。

研究者らによると、クライアントコードには死角があり、これはLDAPリファラルやその他のRPC処理時にクライアント側ロジックを扱うドメインコントローラー内のサービスです。

「クライアントコードは、サーバーがクライアントによって選択されたと想定しており、したがってサーバーやその返す情報は通常信頼されます」と研究者は述べています。「つまり、クライアントコードがリモートから攻撃者が管理するサーバーとやり取りするよう誘導できれば、リモートのクライアントコードはリモートサーバーコードよりも我々を信頼してくれることになります。」

研究者らは、CVE-2024-49113として追跡されているLDAPNightmare脆弱性を利用し、攻撃者が世界中の何万もの公開DCを乗っ取って「膨大なリソースとアップロード速度」を持つボットネットを作成できるWin-DDoS手法を生み出しました。

さらにLDAPクライアントコードのリファラル処理にはリストサイズの制限がなく（CVE-2025-32724）、完了後にのみメモリを解放するため、認証不要の攻撃者が巨大なリストを送信してWindows LSASSをクラッシュさせ、ブルースクリーン（BSOD)を引き起こし、サービス拒否を発生させることができます。

研究でさらに多くのDoS脆弱性が明らかに

SafeBreachの研究者はまた、DCのNetlogonサービスにおいて、細工されたRPCコールによって認証不要でサービスをリモートでクラッシュさせることができるCVE-2025-26673も発見しました。この弱点を悪用することで、攻撃者はWindowsの重要な認証コンポーネントを停止させ、システムが再起動されるまでユーザーをドメインリソースから締め出す可能性があります。同様に、CVE-2025-49716はWindows Local Security Authority Subsystem Service（LSASS）を標的とし、リモート攻撃者が特別に構成されたLDAPクエリを送信してサービスを不安定化させ、影響を受けたホストで即座にDoSを引き起こすことができます。

SafeBreachのリストを締めくくるのは、Windows Print SpoolerのDoS脆弱性CVE-2025-49722です。このバグは、不正なRPCリクエストを送信することでスプーラープロセスをクラッシュさせ、印刷操作を中断させたり、場合によってはシステム全体の安定性に影響を与えることがあります。

MicrosoftはLDAPNightmare（CVE-2024-49113）およびCVE-2025-32724については、それぞれ2024年12月と2025年4月のPatch Tuesdayで修正済みですが、SafeBreachが報告した残り3件の脆弱性は未対応のままです。MicrosoftはCSOのコメント要請に即時の回答をしませんでした。Win-DDoSやその他のDoSリスクに対抗するため、SafeBreachはMicrosoftの最新パッチの適用、DCサービスの公開範囲の制限、重要システムのセグメント化、異常なLDAPやRPCトラフィックの監視による早期攻撃検知を推奨しています。