Windows tizimidagi CLFS zaifliklari orqali hujumchilar tizimni to‘liq nazoratga olmoqda

2025-yil 13-may kuni Microsoft tomonidan chiqarilgan navbatdagi xavfsizlik yangilanishlarida (Patch Tuesday) Windows Common Log File System (CLFS) drayverida aniqlangan ikki jiddiy zaiflik bartaraf etildi. Kompaniya ushbu zaifliklar — CVE-2025-32706 va CVE-2025-32701 — ayni damda xakerlar tomonidan faol ekspluatatsiya qilinayotganini rasman tasdiqladi.

🔓 SYSTEM darajasidagi to‘liq nazoratga olib keluvchi zaifliklar

Har ikkala zaiflik ham hujumchilarga mahalliy imtiyozlarni ko‘tarish, ya’ni oddiy foydalanuvchidan SYSTEM darajasigacha chiqib, butun operatsion tizimni nazorat qilish imkonini beradi.

  • CVE-2025-32706: CLFS drayverida notog‘ri kiruvchi ma’lumotni tekshirish natijasida yuzaga kelgan.
  • CVE-2025-32701: Bu esa use-after-free turidagi xatolik bo‘lib, buferlar noto‘g‘ri boshqarilganda yuzaga keladi.

Mazkur zaifliklardan biri Microsoft Threat Intelligence Center (MSTIC) tomonidan aniqlangan bo‘lsa, ikkinchisi Google Threat Intelligence Group va CrowdStrike Advanced Research Team hamkorligida topilgan.

Microsoft’ning xavfsizlik muhandislaridan biri bunday deydi:

“Ushbu zaifliklar ayniqsa xavfli, chunki ular orqali hujumchi tizimda istalgan amalni bajara oladi — bu bo‘lishi mumkin bo‘lgan eng yuqori darajadagi xavf.”

🛑 CLFS — xakerlar uchun doimiy nishon

Bu CLFS drayveriga qilingan birinchi hujum emas. 2025-yil aprel oyida ham CVE-2025-29824 raqamli boshqa bir CLFS zaifligi ransomware kampaniyalarida ishlatilgani aniqlangan edi. So‘nggi uch yil ichida ushbu komponentda 32 ta zaiflik topilib, har yili o‘rtacha 10 tasi bartaraf etilmoqda.

Microsoft mutaxassislari CLFS haqida quyidagicha ta’rif berdi:

“Common Log File System — Windows tizimining yadro darajasida ishlaydigan komponenti bo‘lib, deyarli barcha Windows versiyalarida mavjud. Aynan shu universalligi va imtiyozli darajadagi kirish huquqi uni xakerlar uchun doimiy nishonga aylantirgan.”

🧨 Ransomware hujumlari bilan bog‘liqlik

CLFS zaifliklari nafaqat tizimni buzish, balki ransomware (shifrlovchi zararli dastur) tarqatish hujumlarida ham faol ishlatilmoqda. Aprel oyida Microsoft tomonidan qayd etilgan holatlarda bu turdagi ekspluatatsiyalar quyidagi sohalarda faol qo‘llanilgan:

  • AQShdagi IT va ko‘chmas mulk kompaniyalari;
  • Venesueladagi moliyaviy muassasalar;
  • Ispaniyadagi dasturiy ta’minot ishlab chiqaruvchisi;
  • Saudiya Arabistonidagi chakana savdo korxonalari.

Hujumlar odatda quyidagicha amalga oshirilgan: dastlab hujumchi tizimga biron usul bilan kiradi (masalan, fishing orqali), so‘ng CLFS zaifligi orqali SYSTEM imtiyozlarini qo‘lga kiritadi, va oxirida esa zararli dasturlarni ishga tushiradi.

🔐 Tizimni qanday himoya qilish mumkin?

Microsoft va boshqa xavfsizlik mutaxassislari quyidagi choralarni tavsiya qilmoqda:

  1. May Patch Tuesday yangilanishlarini zudlik bilan o‘rnatish — bu birinchi va eng muhim qadam.
  2. Administrator huquqlarini cheklash, faqat kerakli foydalanuvchilarga ruxsat berish.
  3. Faol monitoring tizimlarini joriy etish, masalan, EDR (Endpoint Detection and Response).
  4. Zaxira nusxalarni yangilab borish va ularni alohida joyda saqlash.
  5. Shubhali harakatlarni aniqlash uchun SIEM tizimlaridan foydalanish.

Microsoft Xavfsizlik Markazi vakilining so‘zlariga ko‘ra:

“Imtiyozlarni ko‘tarishga oid zaifliklar zamonaviy kiberhujumlar zanjirining ajralmas qismidir. Ularni o‘z vaqtida yopish — tizimlarni himoya qilishda hal qiluvchi rol o‘ynaydi.”

Windows tizimlarida ishlatiladigan CLFS komponenti so‘nggi yillarda xakerlar uchun eng jozibador hujum nuqtasiga aylangan. Tarmoq xavfsizligini saqlab qolish uchun faqat antivirusga tayanib qolmaslik, balki tizimli tarzda himoya qatlamlarini kuchaytirish, foydalanuvchilarning xatti-harakatlarini kuzatish va eng muhimi — tezkor va to‘liq yangilanishlarni o‘rnatish zarur.