Microsoft Windows lnk zaifligini yillar davomida buzib kelinganidan so'ng jimgina patch qildi
0
24
0
Microsoft 2025-yil noyabr oyidagi “Patch Tuesday” yangilanishlari doirasida 2017-yildan beri bir nechta muhaddidlar tomonidan eksploit qilinib kelayotgan xavfsizlik nuqsonini jimgina bartaraf etdi, deya xabar beradi ACROS Security’ning 0patch platformasi.
Gap CVE-2025-9491 (CVSS bahosi: 7.8/7.0) haqida bormoqda. Bu zaiflik Windows Shortcut (LNK) fayllaridagi foydalanuvchi interfeysi noto‘g‘ri talqin qilishi bilan bog‘liq bo‘lib, masofadan kod bajarilishiga olib kelishi mumkin.
NIST Milliy Zaifliklar Ma’lumotlar Ombori (NVD) ta’rifiga ko‘ra, “Muammo aynan .lnk fayllarini qayta ishlash jarayonida mavjud. Maxsus yaratilgan .lnk faylidagi ma’lumotlar Windows taqdim etgan foydalanuvchi interfeysi orqali faylni ko‘rayotgan foydalanuvchiga zararli kontentni ko‘rinmas qilib qo‘yishi mumkin. Hujumchi ushbu zaiflikdan foydalanib, joriy foydalanuvchi mazmunida kod ishga tushirishi mumkin.”
Boshqacha aytganda, bu yorliq (shortcut) fayllari shunday qilib yaratilganki, ularning xossalarini (properties) Windowsda ko‘rishda turli “bo‘sh joy” (whitespace) belgilaridan foydalanib, ular bajaradigan zararli buyruqlar foydalanuvchidan yashirin bo‘lib qoladi. Ularni ishga tushirish uchun hujumchilar fayllarni zararsiz hujjatlar sifatida ko‘rsatib qo‘yishlari mumkin.
Ushbu kamchilik tafsilotlari ilk bor 2025-yil mart oyida paydo bo‘ldi. Trend Microning Zero Day Initiative (ZDI) tashkiloti muammoning 2017-yilgacha borib taqaladigan ayrim holatlarda ma’lumot o‘g‘irlash, josuslik va moliyaviy maqsadlarni ko‘zlagan harakatlar doirasida Xitoy, Eron, Shimoliy Koreya va Rossiyaga mansub 11 ta davlat homiyligidagi guruhlar tomonidan eksploit qilinganini ma’lum qildi. Ushbu masala ZDI-CAN-25373 identifikatori bilan ham qayd etilgan.
O‘sha paytda Microsoft The Hacker News nashriga mazkur nuqson zudlik bilan tuzatish mezoniga mos kelmasligini, biroq kelajakdagi biror yangilanishda uni bartaraf etish masalasini ko‘rib chiqishini aytgan edi. Shuningdek, lnk fayl formatining Outlook, Word, Excel, PowerPoint va OneNoteda bloklangani tufayli bunday fayllarni ochishga harakat qilish foydalanuvchilarga noma’lum manbalardan olingan fayllarni ochmaslik haqida ogohlantirishni keltirib chiqarishini ta’kidlagan.
Shundan so‘ng, HarfangLab hisobotida ushbu kamchilik Sharqiy Yevropadagi hukumat tashkilotlarini nishonga olgan hujumlar doirasida XDSpy nomli kiberjosuslik klasteri tomonidan Go tilida yozilgan XDigo nomli zararli dastur tarqatishda foydalanilgani aniqlangani bildirildi. Bu holat nuqson jamoatchilikka oshkor etilgan o‘sha oyning o‘zida sodir bo‘lgan.
2025-yil oktabr oyining oxirlarida muammo uchinchi bor qayta yuzaga chiqdi. Arctic Wolf kompaniyasi Xitoy bilan aloqador muhaddidlar ushbu nuqsonni Yevropadagi diplomatik va hukumat tashkilotlariga qaratilgan hujumlarda qurollantirib, PlugX zararli dasturini yetkazganini aniqlagach, bu holat qayd etildi.
Bu voqea Microsoftni CVE-2025-9491 bo‘yicha rasmiy ko‘rsatma chiqarishga undadi. Unda kompaniya ushbu kamchilikni yamash qaroridan voz kechganini takrorlab, uni “foydalanuvchi ishtiroki talab etilishi va tizim bu format ishonchsiz ekanligi haqida allaqachon ogohlantirishi” sababli zaiflik deb hisoblamasligini ta’kidladi.
0patch esa zaiflik faqatgina zararli buyruqning Target maydonidan yashirilishi haqida emasligini, balki lnk fayli “Target argumentlarining juda uzun bo‘lishiga (o‘n minglab belgigacha) imkon berishi, xossalar oynasi esa atigi dastlabki 260 belgini ko‘rsatib, qolganini indamay qisqartirib qo‘yishini” ta’kidladi.
Bu, shuningdek, yomon niyatli shaxs lnk faylini juda uzun buyruqni ishga tushiradigan qilib yaratishi mumkinligini anglatadi. Bunda foydalanuvchi fayl xossalarini ko‘rganida buyruqning faqat dastlabki 260 belgisi ko‘rinadi. Buyruq qatorining qolgan qismi shunchaki qisqartirib tashlanadi. Microsoft aytishicha, fayl tuzilmasi nazariy jihatdan 32 ming belgigacha bo‘lgan satrlarni qo‘llab-quvvatlaydi.
Microsoft tomonidan chiqarilgan “jim” tuzatish muammoni xossalar oynasida Target buyruqni argumentlari bilan birga to‘liq ko‘rsatish orqali hal qiladi, uning uzunligidan qat’i nazar. Biroq bu yechim Target maydonida 260 belgidan ortiq bo‘lgan yorliq fayllari mavjud bo‘lish ehtimoliga tayanadi.
Xuddi shu nuqson uchun 0patch tomonidan chiqarilgan mikrotuzatma esa boshqacha yondashuvni qo‘llaydi: u Target maydonini to��‘ldirish orqali argumentlari 260 belgidan uzun bo‘lgan lnk faylini ochishga uringan foydalanuvchiga ogohlantirish ko‘rsatadi.
“Garchi zararli yorliqlarni 260 belgidan kamroq bilan ham yaratish mumkin bo‘lsa-da, real hayotda aniqlangan haqiqiy hujumlarni buzib qo‘yish nishonga olinganlar uchun katta farq qilishi mumkin deb hisoblaymiz,” dedi ular.
Izoh so‘ralganda, Microsoft vakili tuzatma chiqarilganini to‘g‘ridan-to‘g‘ri tasdiqlamadi, biroq mijozlarni himoya qilish va tajribani yaxshilash uchun kompaniya “mahsulot va UI takomillashtirishlarini uzluksiz joriy etayotgani” haqida xavfsizlik bo‘yicha rasmiy ko‘rsatmani taqdim etdi.
“Xavfsizlikning eng yaxshi amaliyoti sifatida Microsoft foydalanuvchilarga noma’lum manbalardan yuklab olingan fayllar bilan ehtiyotkorlik bilan muomala qilishni tavsiya qiladi. Xavfsizlik ogohlantirishlari ehtimoliy zararli fayllarni aniqlash va foydalanuvchilarni ogohlantirish uchun ishlab chiqilgan,” — deya qo‘shimcha qildi kompaniya vakili.
