资安研究员Yuki Chen向微软通报两项涉及的漏洞他们将利用攻击流程大致分成7个步骤。攻击者会向目标伺服器发送分散式运算环境(DCE)或远端程序呼叫(RPC)请求,此时受害主机会对攻击者的网域(研究人员设置为SafeBreachLabs.pro)发送DNS SRV查询。
接著,攻击者的DNS伺服器就会回传攻击者的主机名称及LDAP连接埠。受害主机就会广播NetBIOS名称服务(NBNS),寻找攻击者主机的IP位址,并得到攻击者的NBNS回应。
完成上述步骤后,受害主机就会成为攻击者环境的LDAP用户端,并向攻击者的主机发送CLDAP(Connectionless LDAP)协定的请求,接下来攻击者只要发送具备特定数值的CLDAP回应封包,就能让强制将受害伺服器重开机。
研究人员强调,上述攻击流程若是稍加修改最后发送的CLDAP资料,攻击者还能用来远端执行任意程式码。有鉴于这项漏洞的严重性。
研究人员验证此漏洞可行性的系统是Windows Server 2022及2019,但他们认为此手法也能攻击其他版本的Windows Server。基于这些考量,SafeBreach呼吁企业应尽速套用更新程式,若是无法即时部署,最好监控可疑的CLDAP的转介回应(referral response)是否出现特定的恶意数值,并监控DsrGetDcNameEx2呼叫、DNS SRV(Service)纪录的查询是否出现异常。