Windows xavfsizlik mexanizmlarida jiddiy nuqson: Brokering File System orqali imtiyozlarni oshirish xavfi

2025-yil boshida Microsoft tomonidan Windows operatsion tizimlarida aniqlangan yuqori darajadagi xavfsizlik zaifligi tuzatildi. Ushbu zaiflik CVE-2025-29970 identifikatori bilan ro‘yxatga olingan bo‘lib, Windows’ning Brokering File System (BFS) nomli yadro drayverida aniqlangan. Mazkur kamchilik mahalliy foydalanuvchilarga imtiyozlarni oshirish (Local Privilege Escalation) imkonini berishi bilan alohida xavf tug‘diradi.

Zaiflik ayniqsa sandbox va izolyatsiya qilingan ilovalar (AppContainer, AppSilo) faol qo‘llaniladigan korporativ muhitlar uchun dolzarb hisoblanadi.

Brokering File System (BFS) nima?

Brokering File System — bu Windows yadrosida ishlovchi bfs.sys nomli minifilter drayver bo‘lib, u Microsoft tomonidan Win32 ilovalarni izolyatsiya qilish maqsadida ishlab chiqilgan AppContainer va AppSilo mexanizmlari bilan birga joriy etilgan.

BFS quyidagi operatsiyalarni boshqaradi:

  • Izolyatsiya qilingan ilovalarning fayl tizimiga murojaatlari
  • Pipe va registry so‘rovlarini nazorat qilish
  • Xavfsizlik siyosatlariga mos ravishda resurslarga ruxsat berish

Shu sababli BFS drayveri yuqori ishonchli va muhim komponent hisoblanadi hamda hujumchilar uchun juda jozibali nishondir.

Zaiflikning asl sababi

CVE-2025-29970 zaifligi use-after-free (UAF) turiga mansub bo‘lib, BFS drayverida xotirani noto‘g‘ri boshqarish oqibatida yuzaga keladi. Muammo BFS’dagi DirectoryBlockList tuzilmasini tozalash jarayonida aniqlangan.

Aniqrog‘i:

  • BFS kodida bog‘langan ro‘yxat (linked list) elementlari bo‘ylab aylanish davom etar ekan
  • Ro‘yxat bosh elementi (head) muddatidan oldin xotiradan bo‘shatiladi
  • Ammo kod hali ham ushbu bo‘shatilgan xotira manzilidan foydalanishda davom etadi

Bu esa klassik use-after-free holatini yuzaga keltiradi va hujumchiga yadro xotirasini manipulyatsiya qilish imkonini beradi.

Zaiflik BfsProcessDeletePolicyEntryRequest IOCTL chaqiruvi orqali siyosat yozuvlari o‘chirilganda ishga tushadi.

Tadqiqot va texnik tafsilotlar

Mazkur zaiflik HT3Labs xavfsizlik tadqiqotchilari tomonidan aniqlangan bo‘lib, bfs.sys drayverining 26100.4061 versiyasida sinovdan o‘tkazilgan.

Microsoft tomonidan chiqarilgan patch’da:

  • Xotira tozalash logikasi qayta ishlab chiqilgan
  • Ro‘yxatni bo‘shatish jarayoni alohida BfsCloseRootDirectory funksiyasiga ko‘chirilgan
  • Endilikda barcha elementlar qayta ishlangandan so‘nggina ro‘yxat boshi o‘chiriladi

Bu o‘zgarish use-after-free holatini butunlay bartaraf etadi.

Ekspluatatsiya shartlari va cheklovlar

Zaiflikdan foydalanish ma’lum shartlarni talab qiladi:

  • Hujumchi AppSilo tokeni imkoniyatlariga ega jarayonni impersonatsiya qilishi lozim
  • BFS siyosat yozuvlarini yaratish va ularni qayta-qayta o‘chirish imkoniyati bo‘lishi kerak
  • Faqat Medium Integrity Level jarayonlargina BFS qurilmasiga murojaat qila oladi

Bu cheklovlar ekspluatatsiyani murakkablashtiradi, biroq xavfni to‘liq yo‘q qilmaydi.

Amaliy hujum ssenariysida:

  • Low-box token bilan jarayon ishga tushiriladi
  • Izolyatsiya qilingan kataloglarda vaqtinchalik fayllar yaratiladi
  • IOCTL chaqiruvlari orqali tez-tez qo‘shish va o‘chirish amallari bajariladi

Dastlab tizim darhol ishdan chiqmasligi mumkin, biroq uzoq davom etgan ekspluatatsiya oxir-oqibat 0x00000050 (PAGE_FAULT_IN_NONPAGED_AREA) xatosi bilan BFS drayverining qulashiga olib keladi.

Xavf darajasi va real ta’siri

CVE-2025-29970 zaifligi CVSS 8.8 (High) bahosiga ega bo‘lib, quyidagi tizimlarga ta’sir qiladi:

  • Windows 11
  • Windows Server 2022 va undan keyingi versiyalar

Bu zaiflik ayniqsa:

  • Korporativ muhitlarda
  • Sandbox texnologiyalariga tayangan xavfsizlik modellari mavjud tizimlarda
  • Izolyatsiyalangan ilovalar keng qo‘llaniladigan infratuzilmalarda

katta tahdid tug‘diradi.

PixiePointSecurity mutaxassislariga ko‘ra, ushbu holat hatto maxsus xavfsizlik drayverlari ham nozik xotira boshqaruvi xatolaridan xoli emasligini yana bir bor isbotlaydi.

Himoya choralari va tavsiyalar

Microsoft mazkur zaiflik uchun 2025-yil yanvar oyida rasmiy yamalar chiqardi. Shu bois:

  • Barcha tashkilotlar zudlik bilan Windows yangilanishlarini o‘rnatishi shart
  • Medium Integrity jarayonlar faoliyati monitoring qilinishi lozim
  • Patch o‘rnatilmaguncha sandbox muhitida ishonchsiz ilovalarni cheklash tavsiya etiladi
  • Kernel-mode komponentlar bo‘yicha muntazam xavfsizlik auditlari o‘tkazilishi zarur

CVE-2025-29970 zaifligi Windows’ning eng muhim xavfsizlik mexanizmlaridan biri — izolyatsiya va sandbox tizimlarida ham jiddiy xatolar bo‘lishi mumkinligini ko‘rsatdi. BFS kabi maxsus ishlab chiqilgan drayverdagi bitta mantiqiy nuqson butun tizim xavfsizligini xavf ostiga qo‘yishi mumkin.

Shu sababli, yadro darajasidagi yangilanishlarni kechiktirish — potensial komprometatsiyani qabul qilish bilan teng. Zamonaviy kiberxavfsizlik sharoitida tezkor patchlash va doimiy nazorat eng muhim himoya choralaridan biri bo‘lib qolmoqda.