Microsoft navbatdagi yangilanishda Windowsdagi 114 ta zaiflikni bartaraf etdi
0
5
0
Microsoft seshanba kuni 2026-yil uchun birinchi xavfsizlik yangilanishini e’lon qildi. Unda 114 ta xavfsizlik kamchiligi bartaraf etilgan bo‘lib, ulardan bittasi real hujumlarda faol ishlatilayotgani ma’lum qilindi.
Aniqlangan 114 ta kamchilikdan 8 tasi "o‘ta jiddiy" (Critical), 106 tasi esa "muhim" (Important) darajada baholangan. Zaifliklarning 58 tasi imtiyozlarni oshirish (privilege escalation), 22 tasi ma’lumotlarni oshkor qilish (information disclosure), 21 tasi masofadan kod bajarish (remote code execution) va 5 tasi soxtalashtirish (spoofing) bilan bog‘liq. Fortra ma’lumotlariga ko‘ra, ushbu yangilanish hajmi bo‘yicha 2025 va 2022-yillarning yanvar oyidagi yangilanishlaridan keyin uchinchi o‘rinda turadi.
Ushbu yamoqlar (patches) Microsoft Edge brauzeri uchun 2025-yil dekabr oyidagi yangilanishdan beri e’lon qilingan ikkita qo‘shimcha xavfsizlik tuzatishini ham o‘z ichiga oladi. Bular Android ilovasidagi soxtalashtirish kamchiligi (CVE-2025-65046, reytingi 3.1) va Chromium WebView tegida siyosat ijrosining yetarli emasligi holatidir (CVE-2026-0628, CVSS bali: 8.8).
Real hayotda hujumlar uchun ishlatilayotgan zaiflik — bu CVE-2026-20805 (CVSS bali: 5.5). U "Desktop Window Manager" (DWM) tizimida ma’lumotlarni oshkor qilish (information disclosure) kamchiligi hisoblanadi. Ushbu muammoni aniqlash va xabar berishda Microsoft Tahdidlarni o‘rganish markazi (MTIC) va Microsoft Xavfsizlik bo‘yicha javob markazi (MSRC) ishtirok etgan.
"Desktop Windows Manager (DWM) dagi maxfiy ma’lumotlarning ruxsatsiz shaxsga oshkor bo‘lishi, vakolatli hujumchiga ma’lumotlarni lokal ravishda qo‘lga kiritish imkonini beradi," — deyiladi Microsoft xabarida. "Agar hujumchi ushbu zaiflikdan muvaffaqiyatli foydalansa, masofaviy ALPC portidan bo‘lim manzilini (section address) — foydalanuvchi rejimi xotirasini kiritishi mumkin."
Hozircha zaiflik qanday usulda ishlatilayotgani, hujumlar ko‘lami va uning ortida kimlar turgani haqida ma’lumotlar mavjud emas.
"DWM Windows tizimidagi ekranda aks etadigan barcha narsalar ko'rinishiga mas’ul. Bu esa uni imtiyozli kirish va universal foydalanish imkoniyatini o‘zida birlashtirgan jozibador nishonga aylantiradi, chunki deyarli har qanday jarayon ekranda nimadir ko‘rsatishga ehtiyoj sezadi," — dedi Rapid7 yetakchi dasturiy ta’minot muhandisi Adam Barnett. "Bu holatda, eksploit ALPC port bo‘limi manzilining noqonuniy oshkor bo‘lishiga olib keladi. Bu Windows komponentlari o‘zaro harakatlarni muvofiqlashtiradigan foydalanuvchi rejimi xotirasining bir qismidir."
Microsoft avvalroq, 2024-yil may oyida ham DWM dagi faol ishlatilgan "nol kun" (zero-day) zaifligini (CVE-2024-30051, CVSS bali: 7.8) bartaraf etgandi. O‘sha kamchilik imtiyozlarni oshirish imkonini bergan va QakBot hamda boshqa zararli dasturlarni tarqatishda ko‘plab hakerlar tomonidan suiiste’mol qilingandi. Tenable kompaniyasining katta tadqiqot muhandisi Satnam Narangning aytishicha, DWM "Patch Tuesday" (Seshanba yangilanishlari) da tez-tez uchrab turadi va 2022-yildan beri ushbu kutubxonada 20 ta CVE yopilgan.
Action1 zaifliklarni o‘rganish bo‘yicha direktori Jek Bicerning ta’kidlashicha, ushbu zaiflik mahalliy tasdiqlovdan o‘tgan hujumchi tomonidan ma’lumotlarni oshkor qilish, manzil maydoni tartibini tasodifiylashtirish (ASLR) va boshqa himoya vositalarini chetlab o‘tish uchun ishlatilishi mumkin.
"Bu turdagi zaifliklar odatda bufer to‘lib ketishi va boshqa xotira manipulyatsiyasi hujumlaridan himoyalash uchun mo‘ljallangan ASLR tizimini ishdan chiqarish uchun qo‘llaniladi," — dedi Immersive kompaniyasining kiber tahdidlarni o‘rganish bo‘yicha katta direktori Kev Brin.
"Kodning xotirada qayerda joylashganini aniqlash orqali ushbu zaiflikni boshqa kod bajarish (code execution) kamchiligi bilan birlashtirish mumkin. Bu esa murakkab va ilojsiz hujumni amaliy va takrorlanuvchi hujumga aylantiradi."
AQSh Kiberxavfsizlik va infratuzilma xavfsizligi agentligi (CISA) ushbu zaiflikni o‘zining Ma’lum eksploitlangan zaifliklar (KEV) katalogiga qo‘shdi va Federal fuqarolik ijroiya hokimiyati (FCEB) idoralariga 2026-yil 3-fevralgacha eng so‘nggi tuzatishlarni o‘rnatish majburiyatini yukladi.
Yana bir e’tiborga molik zaiflik — bu CVE-2026-21265 (CVSS bali: 6.4). Bu Xavfsiz Yuklash (Secure Boot) sertifikatining amal qilish muddatini chetlab o‘tish bilan bog‘liq bo‘lib, hujumchiga muhim xavfsizlik mexanizmini buzish imkonini beradi. Ushbu mexanizm proshivka modullari ishonchli manbadan ekanligini ta’minlaydi va yuklash jarayonida zararli dasturlar ishga tushishining oldini oladi.
2025-yil noyabr oyida Microsoft 2011-yilda chiqarilgan uchta Windows Secure Boot sertifikatining muddati 2026-yil iyun oyida tugashini e’lon qilib, mijozlarni o‘z tizimlarini 2023-yilgi muqobillariga yangilashga chaqirdi.
"Ko‘pchilik Windows qurilmalari foydalanadigan Secure Boot sertifikatlari 2026-yil iyun oyidan boshlab o‘z kuchini yo‘qotadi. Agar o‘z vaqtida yangilanmasa, bu ayrim shaxsiy va biznes qurilmalarining xavfsiz yuklanish qobiliyatiga ta’sir qilishi mumkin," — deyiladi Microsoft bayonotida. "Uzilishlarga yo‘l qo‘ymaslik uchun qo‘llanmani ko‘rib chiqish va sertifikatlarni oldindan yangilash choralarini ko‘rishni tavsiya qilamiz."
Windows ishlab chiqaruvchisi, shuningdek, so‘nggi yangilanish operatsion tizim bilan birga keladigan "agrsm64.sys" va "agrsm.sys" nomli Agere Soft Modem drayverlarini olib tashlaganini ham qayd etdi. Uchinchi tomon drayverlari ikki yillik mahalliy imtiyozlarni oshirish zaifligiga (CVE-2023-31096, CVSS bali: 7.8) ega bo‘lib, bu hujumchiga SYSTEM ruxsatlarini qo‘lga kiritish imkonini berishi mumkin edi.
2025-yil oktabr oyida Microsoft ma’muriy imtiyozlarni qo‘lga kiritishga imkon beruvchi zaiflik (CVE-2025-24990, CVSS bali: 7.8) real hujumlarda ishlatilganidan so‘ng, "ltmdm64.sys" nomli yana bir Agere Modem drayverini olib tashlash choralarini ko‘rgan edi.
Shuningdek, CVE-2026-20876 (CVSS bali: 6.7) zaifligi ham ustuvor ro‘yxatda bo‘lishi lozim. Bu Windows Virtualization-Based Security (VBS) Enclave tizimidagi "muhim" darajadagi imtiyozlarni oshirish kamchiligi bo‘lib, hujumchiga Virtual Trust Level 2 (VTL2) imtiyozlarini olish, xavfsizlik nazoratini buzish, chuqur joylashib olish (persistence) va aniqlanishdan qochish imkonini beradi.
"Bu Windowsning o‘zini himoya qilish uchun mo‘ljallangan xavfsizlik chegarasini buzadi va hujumchilarga tizimning eng ishonchli ijro qatlamlaridan biriga kirishga yo‘l ochadi," — dedi Action1 prezidenti va hammuassisi Mayk Uolters.
"Garchi eksploit yuqori imtiyozlarni talab qilsa-da, uning ta’siri juda jiddiy, chunki u virtualizatsiyaga asoslangan xavfsizlikning o‘ziga putur yetkazadi. Tizimda o‘rnashib olgan hujumchilar ushbu kamchilikdan ilg‘or himoya vositalarini yengish uchun foydalanishi mumkin, shu bois Windows xavfsizlik chegaralariga bo‘lgan ishonchni saqlab qolish uchun tezkor yamoqlash (patching) juda muhim."
Boshqa ishlab chiqaruvchilarning dasturiy ta’minot yamoqlari
Microsoft-dan tashqari, oy boshidan beri boshqa ishlab chiqaruvchilar ham bir qator zaifliklarni tuzatish uchun xavfsizlik yangilanishlarini chiqardilar, jumladan:
ABB, Adobe, Amazon Web Services, AMD, Arm, ASUS, Broadcom (jumladan VMware), Cisco, ConnectWise, Dassault Systèmes, D-Link, Dell, Devolutions, Drupal, Elastic, F5, Fortinet, Fortra, Foxit Software, FUJIFILM, Gigabyte, GitLab, Google (Android, Pixel, Chrome, Cloud), Grafana, Hikvision, HP, HP Enterprise (Aruba Networking va Juniper Networks), IBM, Imagination Technologies, Lenovo, Linux distrolari (AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE va Ubuntu), MediaTek, Mitel, Mitsubishi Electric, MongoDB, Moxa, Mozilla (Firefox va Firefox ESR), n8n, NETGEAR, Node.js, NVIDIA, ownCloud, QNAP, Qualcomm, Ricoh, Samsung, SAP, Schneider Electric, ServiceNow, Siemens, SolarWinds, SonicWall, Sophos, Spring Framework, Synology, TP-Link, Trend Micro va Veeam.