Windowsに重大なDoS／DDoSを可能にする4件の脆弱性 急ぎ対処を：セキュリティニュースアラート

SafeBreachは、Windowsに存在する認証不要のDoS／DDoSの脆弱性4件と、これを悪用した新手法「Win-DoS」「Win-DDoS」を公表した。攻撃者は内部／外部ネットワークからリソースを枯渇させ、サーバをクラッシュさせることが可能になる。

[後藤大地，有限会社オングス]

　SafeBreachは2025年8月10日（現地時間）、「Microsoft Windows」に存在するDoSおよびDDoS攻撃を可能にする脆弱（ぜいじゃく）性を公表した。

　今回の調査ではリモートから認証不要で悪用可能なものを含む4件の新しいDoSの脆弱性と、公開されているWindowsサーバをbotネット化する新手法「Win-DoS」および「Win-DDoS」が報告されている。

Windowsサーバをbotネット化する新手法Win-DoS／Win-DDoSとは？

　報告されたCVE情報は以下の通りだ。

• CVE-2025-32724：　ローカルセキュリティ機関サブシステムサービス（LSASS）のLDAPクライアント処理における制御されていないリソース消費により、攻撃者がネットワーク経由でDoS攻撃できる（CVSS 7.5）
• CVE-2025-26673：　NetLogon RPCプロトコル（NetrServerReqChallenge関数）の処理不備により、LSASS/NetLogonプロセスに過剰なメモリ割り当てを実行し、DCをクラッシュさせる（CVSS 7.5）
• CVE-2025-49716：　NetLogon RPCプロトコル（DsrAddressToSiteNamesW関数）の悪用により、DCのNetLogon/LSASSプロセスにリソース消費を強制してクラッシュさせる（CVSS 7.5）
• CVE-2025-49722：SpoolSv RPCプロトコル（RpcEnumPrinters関数）の処理における不備により、認証済みの任意ドメインユーザーがWindows Print Spoolerプロセスをクラッシュさせる（CVSS 5.7）

　研究チームは、開発時に見落とされがちなクライアントコードやトランスポートに依存しないラップドサーバコードという2つの領域を分析した。その結果、LDAPリファーラル処理の制限不足を突く「Referral Overflow」（CVE-2025-32724）を発見し、これを基に単一のDCをクラッシュさせる「Win-DoS」手法を構築した。Win-DoSは、認証不要で対象を停止できるとされ、内部ネットワークやインターネット経由のいずれからも攻撃が成立する。

　この挙動を応用した「Win-DDoS」では公開DCを直接侵害するのではなく、LDAPリファーラルを利用して第三者ターゲットに大量トラフィックを送信させる。これにより、bot感染や端末侵害を実行せず、痕跡をほとんど残さない大規模DDoS攻撃を実行できる。

　トランスポートに依存しないラップドサーバコードの調査ではRPCインタフェース実装におけるリソース管理の不備も判明している。この不備を利用することでNetLogon RPCやSpoolSv RPCに対し、短時間で過剰なメモリを消費させ、サーバやクライアントをクラッシュさせられる。

　SafeBreachは2025年3月にMicrosoftに報告し、既に修正済みだという。組織に対しては、パッチ適用と併せてアクセス制御や異常トラフィック監視を実施することが推奨されている。