Microsoft SQL Server’da aniqlangan yangi xavfli zaiflik: hujumchilar administrator darajasidagi huquqlarni qo‘lga kiritishi mumkin

Kiberxavfsizlik sohasida yana bir muhim ogohlantirish e’lon qilindi. Microsoft kompaniyasi o‘zining ma’lumotlar bazasi boshqaruv tizimi — Microsoft SQL Server dasturida aniqlangan yangi (zero-day) zaiflik haqida rasmiy ma’lumot berdi. Ushbu zaiflikdan foydalangan hujumchilar tizimda past darajadagi ruxsatga ega bo‘lsa ham, o‘z huquqlarini kengaytirib, eng yuqori administrator darajasiga chiqishi mumkin.

Mazkur zaiflik CVE-2026-21262 identifikatori bilan qayd etilgan bo‘lib, u noto‘g‘ri kirish nazorati (improper access control) muammosi bilan bog‘liq. Zaiflik 2026-yil 10-mart kuni rasmiy ravishda e’lon qilingan va allaqachon ommaga oshkor qilingani sababli ko‘plab tashkilotlarda xavotir uyg‘otmoqda.

ZIP fayllardagi metadata qanday ishlaydi?

Oddiy holatda ZIP arxivlarida faylni qanday o‘qish yoki ochish kerakligini ko‘rsatuvchi turli xizmat ma’lumotlari mavjud bo‘ladi. Bular orasida:

  • versiya ma’lumotlari
  • ishlash flaglari
  • siqish (compression) usuli
  • nazorat yig‘indisi (CRC) kabi texnik parametrlar mavjud.

Antivirus va EDR tizimlari arxiv fayllarni tekshirishdan oldin aynan shu metadata ma’lumotlariga tayanib, faylni qanday tarzda ochish va tahlil qilish kerakligini aniqlaydi. Shu jarayonda metadata noto‘g‘ri yoki soxtalashtirilgan bo‘lsa, xavfsizlik tizimlari faylni to‘liq tahlil qila olmasligi mumkin.

Hujum qanday amalga oshiriladi?

Tadqiqotchilarning ta’kidlashicha, hujumchilar ZIP faylining sarlavhasidagi compression method maydonini ataylab buzib qo‘yadi. Natijada xavfsizlik tizimi faylni ochish jarayonida noto‘g‘ri yo‘nalishga kiradi.

Bunday holatda:

  1. Antivirus yoki EDR tizimi faylni ochishga harakat qiladi.
  2. Noto‘g‘ri metadata sababli arxiv to‘g‘ri dekompressiya qilinmaydi.
  3. Tizim faylni tekshira olmagan holda uni “xavfsiz” deb baholashi mumkin.

Natijada zararli dastur arxiv ichida yashirin holatda qoladi va avtomatik xavfsizlik tekshiruvlaridan butunlay ko‘rinmay qoladi. Bu holat kiberxavfsizlik terminologiyasida false negative deb ataladi.

Oddiy arxiv dasturlari ham faylni ocholmaydi

Qizig‘i shundaki, bunday o‘zgartirilgan ZIP fayllar nafaqat xavfsizlik tizimlarini, balki oddiy arxiv dasturlarini ham chalg‘itadi. Masalan:

  • 7-Zip
  • Python zipfile
  • operatsion tizimlarning standart unzip utilitalari

bunday fayllarni ochishda odatda “CRC error” yoki “unsupported method” kabi xatoliklarni ko‘rsatadi. Natijada foydalanuvchi faylni oddiy usulda ocholmaydi.

Zararli kod qanday ishga tushiriladi?

Hujumchilar bu muammoni chetlab o‘tish uchun maxsus yozilgan loader dasturidan foydalanadi. Ushbu loader:

  • buzilgan metadata ma’lumotlarini e’tiborsiz qoldiradi;
  • arxiv ichidagi haqiqiy zararli ma’lumotlarni to‘g‘ridan-to‘g‘ri o‘qiydi;
  • zararli kodni tizimda ishga tushiradi.

Natijada ikki bosqichli hujum mexanizmi hosil bo‘ladi:

  1. zararli fayl xavfsizlik tizimlaridan yashirinadi;
  2. keyinchalik maxsus loader orqali tizimda ishga tushiriladi.

Tadqiqot va tarixiy o‘xshashlik

Mazkur usul kiberxavfsizlik tadqiqotchisi Christopher Aziz tomonidan aniqlangan. Mutaxassislarning fikricha, bu zaiflik yangi bo‘lsa-da, uning mexanizmi avvalroq aniqlangan CVE-2004-0935 zaifligiga o‘xshash jihatlarga ega.

Bu esa arxiv fayllarining metadata qismi orqali manipulyatsiya qilish usuli hali ham samarali hujum vektori bo‘lib qolayotganini ko‘rsatadi.

Qaysi tizimlar ta’sirlanishi mumkin?

Dastlabki ma’lumotlarga ko‘ra, ayrim xavfsizlik mahsulotlari ushbu zaiflikdan ta’sirlanishi mumkin. Jumladan, quyidagi kompaniyalar mahsulotlarining holati tekshirilmoqda:

  • Cisco
  • Bitdefender
  • Avast
  • AhnLab

Shuningdek, bu muammo haqida rasmiy ogohlantirish CERT Coordination Center tomonidan VU#976247 identifikatori bilan e’lon qilingan.

Himoyalanish chorasi

Mutaxassislar tashkilotlarga quyidagi choralarni ko‘rishni tavsiya etadi:

  • arxiv fayllarni tekshirishda faqat metadata ma’lumotlariga tayanmaslik;
  • EDR tizimlarida agressiv tahlil rejimlarini yoqish;
  • buzilgan yoki nomuvofiq sarlavhali arxivlarni qo‘shimcha tekshiruvga yuborish;
  • antivirus va EDR ishlab chiqaruvchilaridan CVE-2026-0866 zaifligiga ta’sir darajasi haqida ma’lumot olish;
  • tarmoqda maxsus loader dasturlarining faoliyatini monitoring qilish.

Zamonaviy kiberhujumlar tobora murakkablashib borar ekan, hatto oddiy ko‘rinadigan fayl formatlari ham xavfsizlik tizimlari uchun zaif nuqtaga aylanishi mumkin. ZIP arxiv fayllarining metadata qismi bilan manipulyatsiya qilish orqali hujumchilar avtomatlashtirilgan xavfsizlik tizimlarini chalg‘itishga muvaffaq bo‘lishi mumkin.

Shu sababli tashkilotlar nafaqat antivirus va EDR tizimlariga tayanib qolmasdan, fayllarni chuqur tahlil qiluvchi qo‘shimcha himoya mexanizmlarini ham joriy etishlari muhim hisoblanadi. Bu esa zamonaviy kiberxavflarga qarshi kurashishda yanada mustahkam mudofaa qatlamini yaratishga yordam beradi.