In der Welt der IT-Sicherheit werden häufig Schwachstellen wie Remote-Code-Ausführungen oder Datenschutzlücken in kritischen Infrastrukturen untersucht und diskutiert. Dabei tritt eine oft übersehene, aber mindestens ebenso bedrohliche Gefahr in den Hintergrund – die des Speichererschöpfungsangriffs, auch bekannt als Denial of Service (DoS) durch Ressourcenüberlastung. Besonders prekär ist diese Problematik im Zusammenhang mit Diensten, die das User Datagram Protocol (UDP) verwenden, da diese keinem traditionellen Verbindungsaufbau folgen und dadurch leichter für Angriffe missbraucht werden können. Ein prominentes Beispiel hierfür ist der Windows Deployment Service (WDS), eine von Microsoft bereitgestellte Serverrolle, die in vielen Unternehmen und Bildungseinrichtungen für die netzwerkbasierte Bereitstellung von Windows-Betriebssystemen unverzichtbar ist. Windows Deployment Service vereinfacht die Installation von Windows 10, Windows 11 oder Windows Server auf mehreren Rechnern, indem er die Notwendigkeit physischer Medien überflüssig macht.
Mittels PXE-Boot (Preboot Execution Environment) starten Client-Geräte und kommunizieren mit dem WDS-Server, um Boot- und Installationsabbilder herunterzuladen. Die Daten werden hierfür typischerweise über das Trivial File Transfer Protocol (TFTP) sowie über Multicast-Protokolle verteilt, was eine effiziente Verteilung in Umgebungen mit vielen Clients ermöglicht. Doch gerade dieser Dienst ist Ziel eines schwerwiegenden Angriffsmusters geworden, welches sich die Eigenschaften von UDP zunutze macht. Da UDP eine verbindungslose Kommunikation ohne Authentifizierung oder Quellenverifikation ermöglicht, kann ein Angreifer beliebige Paketquellen und Portnummern vortäuschen. Im Falle des WDS erfolgt bei jeder eingehenden Anfrage an den UDP-Port 69 – dem typischen TFTP-Port – die Erstellung eines sogenannten CTftpSession-Objekts, welches eine Sitzung verwaltet.
Diese Sitzungen werden in einer Datenstruktur namens EndpointSessionMapEntry abgelegt, die keine Obergrenzen bezüglich der Anzahl paralleler Sitzungen implementiert. Diese unbeschränkte Ressourcenzuteilung macht den WDS anfällig für einen sogenannten Preauth-DoS-Angriff, bei dem das Zielsystem durch schnelles und massives Anlegen neuer Session-Objekte mit gefälschten Quell-IP-Adressen und Portnummern überflutet wird. Da der Server diese scheinbar legitimen Sitzungen verwaltet, wächst der Speicherverbrauch kontinuierlich an. Tests in einer simulierten Umgebung mit einer Windows-Maschine und 8 Gigabyte RAM zeigten, dass durch gezieltes Senden von UDP-Paketen über einen Zeitraum von nur sieben Minuten die Speicherauslastung auf mehr als 15 Gigabyte anstieg, was letztlich zum Absturz und zur Leitungsunfähigkeit des Servers führte. Die Auswirkungen eines erfolgreichen Angriffs auf WDS sind weitreichend.
Unternehmen und Organisationen, die auf eine zentrale und automatisierte Windows-Bereitstellung angewiesen sind, sehen sich plötzlich mit einer Funktionsunfähigkeit ihrer Installationsinfrastruktur konfrontiert. Ein Angriff erfordert keinerlei vorherige Authentifizierung und keinen Benutzerinteraktionsmechanismus, was ihn besonders gefährlich macht. Die Verteilung neuer Betriebssysteme oder das Re-Imaging von Rechnern wird damit massiv beeinträchtigt. Für Außenstehende ist der Angriff schwer unterscheidbar von regulärem Netzverkehr, da die Anfragen aus validen IP-Bereichen zu stammen scheinen, was die Absicherung weiter erschwert. Das grundsätzliche Problem liegt in den Eigenschaften von UDP als Protokoll.
Die Aufbau- und Verbindungslose Natur des Protokolls führt dazu, dass Server nicht zuverlässig verifizieren können, ob eine eingehende Anfrage von einem echten, vertrauenswürdigen Client stammt. Dadurch wird ein Missbrauch durch das Spoofing von IP-Adressen und Ports möglich, wodurch beliebig viele scheinbar einzigartige Sitzungen kreiert werden können. In der Folge verweist dies auf ein systemisches Risiko, das nicht nur WDS betrifft, sondern auch andere critical UDP-basierte Dienste, sofern sie keine eigenen Limits oder Sicherheitsmechanismen implementieren. Der Demonstrationsangriff basiert auf dem wiederholten Senden von UDP-Paketen mit gefälschten Quelladressen in großem Umfang. Ein beispielhafter Pseudocode illustriert die Einfachheit dieses Verfahrens: Ein Skript iteriert über ein breites Spektrum von IP-Adressen und zufälligen Quellports, um jeweils eine neue Legitimationsanfrage an den WDS zu schicken.
Die Schwierigkeit für Angreifer liegt hauptsächlich in der Netzwerkinfrastruktur und der Bandbreite. Mit Hochleistungsnetzwerken und automatisierter Multithread-Verarbeitung lässt sich die Effektivität des Angriffs jedoch erheblich steigern. Microsoft wurde die Schwachstelle bereits Anfang 2025 gemeldet. Nachdem das Unternehmen den Fehler bestätigte, änderte es jedoch seine Prämienrichtlinien für Sicherheitslücken vom März desselben Jahres, was schließlich dazu führte, dass das Problem als moderat eingestuft wurde und nicht in den Sicherheitsdienstleistungsbarrieren enthalten ist. Diese Haltung wurde von den Sicherheitsforschern kritisiert, da die Auswirkungen der Schwachstelle auf Produktionsumgebungen erheblich sind und ein veritables Risiko für Unternehmen und Infrastruktur darstellen.
Derzeit gibt es keine offiziellen Patches oder Updates für den WDS, welche diese DoS-Schwachstelle adressieren. Angesichts der fehlenden Gegenmaßnahmen empfehlen Sicherheitsexperten derzeit ein vorsichtiges Vorgehen bei der Nutzung von Windows Deployment Service innerhalb produktiver Umgebungen. In kritischen Szenarien sollte der Dienst möglichst nicht eingesetzt werden oder zumindest durch intelligente Netzwerkschutzmechanismen flankiert werden. Dies kann etwa durch das Filtern unerwarteter UDP-Pakete am Perimeter, durch Einsatz von State-Tracking-Firewalls oder durch die Beschränkung auf vertrauenswürdige Subnetze erfolgen. Außerdem sind Monitoring-Tools empfehlenswert, die ungewöhnliche Anfragenmuster frühzeitig erkennen und Administratoren alarmieren können.
Langfristig braucht es seitens der Hersteller eine Anpassung der Softwarearchitektur von WDS und ähnlichen Diensten, um eine Ressourcenerschöpfung künftig zu verhindern. Beispielsweise könnten Sitzungserstellungen pro Client-IP limitiert, Session-Timeouts aggressiver gestaltet oder Authentifizierungsprüfungen eingebaut werden. Auch der Einsatz kryptografischer Protokolle oder eine stärker integrierte Netzwerkabsicherung bei UDP-Diensten können helfen, die Angriffsfläche zu reduzieren. Das weitreichende Problem von Preauth-DoS-Angriffen in UDP-Services zeigt exemplarisch, wie wichtig es ist, neben klassischen Exploits auch die Verfügbarkeit und Resilienz kritischer Netzwerkdienste in den Fokus der Sicherheitsbewertung zu rücken. In einer Welt, die immer stärker vernetzt ist und in der unternehmenskritische Dienste zunehmend automatisiert bereitgestellt werden, könnte ein massiver DoS-Angriff schwerwiegende wirtschaftliche und operative Folgen haben.
Abschließend lässt sich festhalten, dass die Sicherheit von UDP-basierten Systemen aktuell eine blinde Fleck im Bereich der IT-Schutzmechanismen darstellt. Organisationen, die auf den Betrieb von Windows Deployment Service setzen, sind dringend angehalten, die Risiken zu evaluieren und bei der Netzwerkarchitektur Vorsichtsmaßnahmen zu implementieren. Nur so kann die Stabilität der gesamten Infrastruktur gewährleistet und ein potenzieller Angriff abgewehrt werden.
