Active Directory xavf ostida: Netlogon’dagi kritik zaiflik orqali hujumchilar butun domen ustidan nazoratni qo‘lga kiritishi mumkin

Microsoft tomonidan 2026-yil may oyidagi xavfsizlik yangilanishlari doirasida bartaraf etilgan CVE-2026-41089 identifikatoriga ega kritik zaiflik hozirda real kiberhujumlarda faol ravishda ekspluatatsiya qilinayotgani ma’lum bo‘ldi. Kiberxavfsizlik mutaxassislari ushbu zaiflikni so‘nggi yillarda Windows infratuzilmalarida aniqlangan eng xavfli masofaviy kod bajarish (Remote Code Execution – RCE) zaifliklaridan biri sifatida baholamoqda.

Mazkur zaiflik Windows Server operatsion tizimlarida domen nazoratchisi (Domain Controller) vazifasini bajaruvchi serverlarga ta’sir ko‘rsatadi va hujumchilarga autentifikatsiyadan o‘tmasdan turib tizimda SYSTEM darajasidagi huquqlar bilan ixtiyoriy kodni masofadan ishga tushirish imkonini beradi.

Eng xavotirli jihati shundaki, zaiflikdan foydalanish uchun foydalanuvchi ishtiroki, hisob ma’lumotlari yoki serverga mahalliy kirish talab qilinmaydi. Shu sababli mutaxassislar uni «0-Click» (foydalanuvchi harakatisiz amalga oshiriladigan) zaiflik sifatida baholamoqda.

Netlogon xizmati nima va nima uchun muhim?

Netlogon — Windows Active Directory infratuzilmasining eng muhim komponentlaridan biri hisoblanadi. Ushbu xizmat domen ichidagi kompyuterlar, serverlar va foydalanuvchilar o‘rtasidagi autentifikatsiya jarayonlarini boshqaradi.

Netlogon quyidagi vazifalarni bajaradi:

  • foydalanuvchilarni domen tizimida autentifikatsiya qilish;
  • kompyuterlarning domen bilan o‘zaro ishonch munosabatlarini ta’minlash;
  • guruh siyosatlari (Group Policy) qo‘llanilishini qo‘llab-quvvatlash;
  • Active Directory xizmatlari bilan bog‘liq xavfsizlik operatsiyalarini amalga oshirish.

Shu sababli Netlogon xizmatining komprometatsiya qilinishi butun domen infratuzilmasining nazoratdan chiqishiga olib kelishi mumkin.

Zaiflik qanday ishlaydi?

Microsoft ma’lumotlariga ko‘ra, CVE-2026-41089 zaifligi Netlogon xizmati tomonidan tarmoq orqali qabul qilinadigan ayrim maxsus so‘rovlarning noto‘g‘ri qayta ishlanishi bilan bog‘liq.

Hujumchi zaif domen nazoratchisiga maxsus tayyorlangan Netlogon tarmoq so‘rovini yuboradi. Ushbu so‘rov xizmat ichidagi xatolikni ishga tushiradi va natijada hujumchiga serverda o‘z kodini SYSTEM huquqlari bilan bajarish imkonini beradi.

SYSTEM huquqi Windows tizimidagi eng yuqori darajadagi vakolatlardan biri bo‘lib, u administrator huquqlaridan ham kengroq imkoniyatlarga ega.

Zaiflikning asosiy xususiyatlari:

  • masofadan ekspluatatsiya qilinadi;
  • autentifikatsiya talab qilmaydi;
  • foydalanuvchi harakati talab qilinmaydi;
  • SYSTEM darajasida kod bajarilishiga olib keladi;
  • domenning to‘liq komprometatsiya qilinishiga sabab bo‘lishi mumkin.

Aynan shu omillar ushbu zaiflikni korporativ infratuzilmalar uchun o‘ta xavfli tahdidga aylantirmoqda.

Hujumchilar nimalarga erishishi mumkin?

Agar hujum muvaffaqiyatli amalga oshirilsa, hujumchi domen nazoratchisi ustidan to‘liq nazoratni qo‘lga kiritishi mumkin.

Bu esa quyidagi imkoniyatlarni beradi:

  • yangi administrator hisoblarini yaratish;
  • mavjud foydalanuvchilar huquqlarini o‘zgartirish;
  • zararli dasturlar va ransomware joylashtirish;
  • xavfsizlik vositalarini o‘chirib qo‘yish;
  • Active Directory ma’lumotlarini o‘zgartirish;
  • korporativ tarmoq bo‘ylab lateral harakatlanish;
  • maxfiy ma’lumotlarni o‘g‘irlash;
  • butun infratuzilmani nazorat ostiga olish.

Amaliyotda domen nazoratchisining komprometatsiya qilinishi ko‘pincha tashkilotning barcha axborot tizimlari komprometatsiya qilinishiga teng hisoblanadi.

Faol ekspluatatsiya holatlari qayd etildi

Kiberxavfsizlik tashkilotlari va davlat idoralari tomonidan ushbu zaiflikning real hujumlarda qo‘llanilayotgani tasdiqlangan.

Xususan, Belgiya Kiberxavfsizlik Markazi (CCB) Microsoft’ning 2026-yil may oyidagi yangilanishlarida bartaraf etilgan 118 ta zaiflik orasida CVE-2026-41089 ni alohida ajratib ko‘rsatib, tashkilotlarni zudlik bilan choralar ko‘rishga chaqirdi.

Mutaxassislarning fikricha, zaiflikning «0-Click» xususiyati va autentifikatsiyasiz ekspluatatsiya qilinishi uni avtomatlashtirilgan hujumlar uchun ideal vositaga aylantiradi.

Bu esa kelajakda:

  • ommaviy skanerlashlar;
  • avtomatlashtirilgan ekspluatatsiya kampaniyalari;
  • ransomware hujumlari;
  • davlat miqyosidagi kiberjosuslik operatsiyalari

uchun keng qo‘llanilish ehtimolini oshirmoqda.

Qaysi tizimlar xavf ostida?

Zaiflik Windows Server operatsion tizimining domen nazoratchisi sifatida ishlayotgan serverlariga ta’sir ko‘rsatadi.

Microsoft tomonidan qo‘llab-quvvatlanayotgan barcha Windows Server versiyalari uchun xavfsizlik yangilanishlari chiqarilgan bo‘lib, ular:

  • Windows Server 2012;
  • Windows Server 2016;
  • Windows Server 2019;
  • Windows Server 2022;
  • boshqa qo‘llab-quvvatlanayotgan versiyalarni qamrab oladi.

Agar domen nazoratchisi may oyidagi xavfsizlik yangilanishlarini qabul qilmagan bo‘lsa, u xavf ostida bo‘lishi mumkin.

Himoyalanish uchun qanday choralar ko‘rish kerak?

Mutaxassislar ushbu zaiflikni favqulodda darajadagi xavfsizlik hodisasi sifatida baholamoqda va quyidagi choralarni tavsiya etmoqda.

Xavfsizlik yangilanishlarini zudlik bilan o‘rnatish

Microsoft tomonidan chiqarilgan 2026-yil may oyidagi yangilanishlar imkon qadar tezroq o‘rnatilishi lozim.

Domen nazoratchilarini ustuvor tartibda yangilash

Birinchi navbatda Domain Controller serverlari yangilanishi kerak, chunki zaiflik aynan ushbu tizimlarga ta’sir ko‘rsatadi.

Netlogon faoliyatini monitoring qilish

Quyidagilarga alohida e’tibor qaratish tavsiya etiladi:

  • noodatiy autentifikatsiya urinishlari;
  • Netlogon xizmatiga oid g‘ayrioddiy tarmoq trafigi;
  • yangi administrator hisoblari yaratilishi;
  • vakolatlarning kutilmagan o‘zgarishi.

Tarmoq segmentatsiyasini kuchaytirish

Domen nazoratchilariga faqat zarur serverlar va xizmatlargina ulana olishi kerak.

Active Directory auditini o‘tkazish

Administratorlar va imtiyozli hisoblar muntazam ravishda tekshirilib, ortiqcha vakolatlar cheklanishi lozim.

EDR va SIEM vositalarini kuchaytirish

Hujumlarni erta bosqichda aniqlash uchun xavfsizlik monitoringi kuchaytirilishi tavsiya etiladi.

CVE-2026-41089 zaifligi Windows Active Directory infratuzilmasiga qarshi qaratilgan eng xavfli zaifliklardan biri sifatida baholanmoqda. Uning autentifikatsiyasiz ekspluatatsiya qilinishi, foydalanuvchi ishtirokini talab qilmasligi va SYSTEM darajasida kod bajarilishiga olib kelishi korporativ tarmoqlar uchun juda katta xavf tug‘diradi.

Zaiflik allaqachon real hujumlarda qo‘llanilayotgani sababli tashkilotlar uni oddiy xavfsizlik yangilanishi sifatida emas, balki favqulodda darajadagi tahdid sifatida qabul qilishlari zarur. Domen nazoratchilarini zudlik bilan yangilash, Netlogon faoliyatini nazorat qilish va Active Directory xavfsizligini kuchaytirish bugungi kunda eng muhim vazifalardan biri bo‘lib qolmoqda.

Kechiktirilgan har bir kun hujumchilarga butun korporativ infratuzilmani egallab olish imkoniyatini berishi mumkin.