SHOSHILINCH: Microsoft 57 ta xavfsizlik zaifligini, jumladan, faol eksploit qilinayotgan 6 ta zero day zaiflikni bartaraf etdi

4 days ago

4 min read

Microsoft seshanba kuni dasturiy taʼminotidagi 57 ta xavfsizlik zaifligini bartaraf etish uchun xavfsizlik yangilanishlarini chiqardi. Ularning orasida oltita zero day zaiflik mavjud boʻlib, kompaniya ularning faol ravishda eksploit qilinayotganini tasdiqladi.

57 ta zaiflikdan oltitasi «O'ta xavfli» (Critical), 50 tasi «muhim» (Important), bittasi esa «past» (Low) xavflilik darajasiga ega deb baholangan. Tuzatilgan zaifliklarning 23 tasi masofadan kod bajarish (remote code execution) bilan bogʻliq boʻlsa, 22 tasi imtiyozlarni oshirish (privilege escalation) bilan bogʻliq.

Ushbu yangilanishlar Microsoft kompaniyasining Chromium asosidagi Edge brauzerida oʻtgan oydagi Patch Tuesday yangilanishidan keyin aniqlanib tuzatilgan 17 ta qoʻshimcha zaifliklarga qoʻshimcha hisoblanadi. Ulardan biri brauzerga xos soxtalashtirish (spoofing) zaifligidir (CVE-2025-26643, CVSS koʻrsatkichi: 5.4).

Faol eksploit qilinayotgan oltita zaiflik quyida keltirilgan:

CVE-2025-24983 (CVSS koʻrsatkichi: 7.0) – Windows Win32 Kernel tizimi tarkibidagi «use-after-free» (UAF) zaifligi boʻlib, avtorizatsiyadan oʻtgan tajovuzkorga mahalliy darajada imtiyozlarini oshirish imkonini beradi.
CVE-2025-24984 (CVSS koʻrsatkichi: 4.6) – Windows NTFS axborot oshkor boʻlishi bilan bogʻliq zaiflik boʻlib, tajovuzkor jismoniy kirish huquqiga ega boʻlgan va zararli USB qurilmasini qurilmaga ulash imkoniyatiga ega boʻlgan holda, xotiraning (heap memory) ayrim qismlarini oʻqishi mumkin.
CVE-2025-24985 (CVSS koʻrsatkichi: 7.8) – Windows Fast FAT fayl tizimi drayveridagi butun sonlarning toshib ketishi (integer overflow) zaifligi boʻlib, ruxsatsiz tajovuzkor mahalliy darajada kod bajarish imkoniyatiga ega boʻladi.
CVE-2025-24991 (CVSS koʻrsatkichi: 5.5) – Windows NTFS'dagi xotira chegarasidan tashqarida oʻqish (out-of-bounds read) zaifligi boʻlib, avtorizatsiyadan oʻtgan tajovuzkor mahalliy darajada maʼlumotlarni oshkor qilishi mumkin.
CVE-2025-24993 (CVSS koʻrsatkichi: 7.8) – Windows NTFS'dagi heap asosidagi bufer toshib ketishi (heap-based buffer overflow) zaifligi boʻlib, ruxsatsiz tajovuzkor mahalliy darajada kod bajarishi mumkin.
CVE-2025-26633 (CVSS koʻrsatkichi: 7.0) – Microsoft Management Console'dagi notoʻgʻri neytrallashtirish zaifligi boʻlib, ruxsatsiz tajovuzkor xavfsizlik mexanizmini mahalliy darajada chetlab oʻtishi mumkin.

CVE-2025-24983 zaifligini aniqlab xabar qilgan ESET kompaniyasiga koʻra, ular ushbu zero day zaiflikni ilk bor 2023-yil mart oyida, buzib kirilgan qurilmalarga PipeMagic deb nomlangan backdoor yordamida yetkazilgan holatda aniqlagan.

Slovak kompaniyasi ESET quyidagilarni qayd etdi: "Ushbu zaiflik Win32k drayveridagi 'use-after-free' (UAF) turiga mansubdir. Muayyan sharoitda WaitForInputIdle API yordamida W32PROCESS strukturasiga zarur boʻlganidan bir marta koʻproq murojaat qilinadi, natijada UAF yuzaga keladi. Zaiflikka erishish uchun 'race condition' holatida gʻolib boʻlish talab etiladi."

2022-yilda ilk bor aniqlangan PipeMagic – plagini mavjud boʻlgan troyan boʻlib, u Osiyo va Saudiya Arabistonidagi tashkilotlarni nishonga olgan. Ushbu zararli dastur 2024-yil oxiridagi harakatlarda soxta OpenAI ChatGPT dasturi shaklida tarqatilgan.

Kaspersky 2024-yil oktabr oyida quyidagilarni oshkor qilgan: "PipeMagic'ning oʻziga xos xususiyatlaridan biri shuki, u nomlangan quvur (named pipe) yaratish uchun tasodifiy 16 baytlik massiv hosil qiladi va uni quyidagi formatda yaratadi: \\.\pipe\1.<hex string>. U doimiy ravishda ushbu quvurni yaratadigan, undan maʼlumotlarni oʻqiydigan va keyin uni yoʻq qiladigan alohida oqim (thread) hosil qiladi."

"Ushbu quvur kodlangan payload(yuklama)larni va toʻxtatish signallarini mahalliy interfeys orqali qabul qilish uchun ishlatiladi. PipeMagic odatda boshqaruv serveridan (C2) yuklab olingan bir nechta plaginlar bilan ishlaydi va mazkur holatda ushbu server Microsoft Azure’da joylashtirilgan."

Zero Day Initiative tashkiloti taʼkidlaganidek, CVE-2025-26633 zaifligi MSC fayllarining notoʻgʻri qayta ishlanishi bilan bogʻliq boʻlib, tajovuzkorga fayl obroʻsi himoyalarini chetlab oʻtish va kodni foydalanuvchining joriy huquqlari bilan ishga tushirish imkonini beradi. Ushbu faoliyat EncryptHub (LARVA-208) deb nomlangan tajovuzchi guruhga bogʻlangan.

Action1’ga koʻra, tahdid taqlidchilari Windows fayl tizimi asosiy unsurlariga taalluqli toʻrtta zaiflikni zanjir usulida birlashtirib, masofadan turib kod bajarish (CVE-2025-24985 va CVE-2025-24993) va maʼlumotlarni oshkor qilishga (CVE-2025-24984 va CVE-2025-24991) olib kelishi mumkin. Mazkur toʻrtta zaiflik anonim ravishda xabar qilingan.

Immersive kompaniyasining tahdidlarni tadqiq qilish boʻlimi katta direktori Kev Breen shunday dedi: "Ushbu eksploit tajovuzkor tomonidan maxsus tayyorlangan zararli VHD faylini yaratib, foydalanuvchini uni ochish yoki tizimga ulashga ishontirish orqali amalga oshiriladi. VHD (Virtual Hard Disk) — odatda virtual mashinalarning operatsion tizimlarini saqlash uchun qoʻllaniladi."

"Garchi VHD odatda virtual mashinalarga tegishli boʻlsa-da, soʻnggi yillarda tajovuzchilar ushbu formatdagi fayllarni phishing harakatlarida AV himoyalarini chetlab oʻtish va zararli dasturlarni yetkazish uchun qoʻllayotgan holatlar kuzatilgan. Windows tizimlari sozlamasiga qarab, foydalanuvchi VHD faylini ikki marta bosishi uni avtomatik tarzda ulanishiga va ichidagi zararli yuklarni bajarilishiga olib kelishi mumkin."

Tenable kompaniyasi katta tadqiqot muhandisi Satnam Narang’ga koʻra, CVE-2025-26633 zaifligi MMC'dagi faol eksploit qilingan ikkinchi zero day (birinchisi CVE-2024-43572 boʻlgan) boʻlib, CVE-2025-24985 esa Windows Fast FAT fayl tizimi drayverida 2022-yil martidan buyon aniqlangan ilk zaiflikdir. Shuningdek, u faol eksploit qilingan birinchi zero day zaiflik hisoblanadi.

Hozirgi vaqtda qolgan zaifliklarning eksploit qilinayotgani, qanday sharoitda foydalanilayotgani va hujumlarning aniq miqyosi nomaʼlumligicha qolmoqda. Ushbu vaziyat sababli AQSh Kiberxavfsizlik va infratuzilma xavfsizligi agentligi (CISA) mazkur zaifliklarni faol eksploit qilinayotgan zaifliklar katalogiga (KEV) qoʻshdi va federal agentliklardan ushbu tuzatishlarni 2025-yilning aprel oyining oxirigacha oʻrnatishni talab qildi.

Microsoft'dan tashqari boshqa ishlab chiqaruvchilar ham oʻz dasturlaridagi bir nechta zaifliklarni bartaraf qilish uchun xavfsizlik yangilanishlarini chiqardi, jumladan: