Microsoft SQL Server’dagi jiddiy zaiflik: hujumchi tarmoq orqali imtiyozlarni oshirishi mumkin

Microsoft kompaniyasi 2025-yil 11-noyabr kuni SQL Server ma’lumotlar bazasi boshqaruv tizimida aniqlangan jiddiy zaiflikni bartaraf etuvchi xavfsizlik yangilanishlarini e’lon qildi. Mazkur zaiflik CVE-2025-59499 raqami ostida ro‘yxatga olingan bo‘lib, u SQL Server 2016, 2017, 2019 va 2022 versiyalariga ta’sir qiladi. Zaiflikning mohiyati — tizim tomonidan maxsus belgilarni noto‘g‘ri qayta ishlash natijasida yuzaga keladigan SQL Injection (CWE-89) turidagi xatolikdir.

Zaiflikning xavfi

Mazkur zaiflikdan foydalangan holda tajovuzkorlar tizimdagi cheklangan huquqlarga ega foydalanuvchi hisobidan foydalanib, maxsus tayyorlangan buyruqlarni ma’lumotlar bazasiga yuborishlari mumkin. Ushbu buyruqlar T-SQL formatida bajarilib, ularni amalga oshiruvchi jarayonning imtiyoz darajasiga teng huquqlarni beradi. Agar jarayon “sysadmin” huquqlari bilan ishlayotgan bo‘lsa, hujumchi butun SQL Server’ni to‘liq boshqarish imkoniga ega bo‘ladi — shu jumladan:

  • bazadagi har qanday ma’lumotni o‘qish, o‘zgartirish yoki o‘chirish;
  • yangi foydalanuvchi hisoblarini yaratish;
  • tizim darajasidagi buyruqlarni bajarish imkoniga ega bo‘ladi.

Texnik tavsif

  • CVE ID: CVE-2025-59499
  • Zaiflik turi: SQL Injection (CWE-89)
  • CVSS balli: 8.8 (yuqori xavf darajasi)
  • Hujum yo‘nalishi: tarmoq orqali (Network)
  • Murakkablik: past (Low complexity)
  • Kerakli imtiyoz: past (Low privileges required)
  • Foydalanuvchi aralashuvi: talab qilinmaydi (None)
  • Jiddiylik darajasi: muhim (Important)
  • Ommaviy oshkor etilgan: Yo‘q
  • Amalda ekspluatatsiya qilingan: Yo‘q
  • E’lon qilingan sana: 2025-yil 11-noyabr
  • Ta’sir doirasi: SQL Server 2016, 2017, 2019, 2022

Hujum mexanizmi

Tizim zaifligi SQL Server’ning ma’lumotlar bazasi nomlarini so‘rovlar ichida qayta ishlash mexanizmi bilan bog‘liq. Tajovuzkor maxsus belgilar (masalan, ', ", ;) qo‘shilgan zararli bazalar nomini yaratadi. Server ushbu belgilarni to‘g‘ri filtrlab chiqarmaganda, buyruqlar kiritilgan so‘rov tarkibiga “qo‘shilib” ketadi va tizimda yuqori darajadagi imtiyozlar bilan bajariladi.

Ta’sir doirasi va oqibatlar

Bu zaiflik SQL Server tizimlarining maxfiylik (confidentiality), butunlik (integrity) va mavjudlik (availability) tamoyillariga jiddiy xavf tug‘diradi. Ayniqsa, internetga ochiq yoki zaif himoyalangan SQL Server instansiyalari uchun tahdid darajasi yuqori hisoblanadi.

Himoyalanish choralari

Microsoft barcha ta’sirlangan versiyalar uchun General Distribution Release (GDR) va Cumulative Update (CU) kanallari orqali xavfsizlik yamalarini chiqargan. Tizim ma’murlari quyidagilarni amalga oshirishlari zarur:

  1. O‘z SQL Server versiyasiga mos xavfsizlik yangilanishini zudlik bilan o‘rnatish;
  2. Serverni faqat zarur foydalanuvchilar tarmog‘iga ochiq qoldirish;
  3. Ma’lumotlar bazasi nomlari va foydalanuvchi kiritmalarini qat’iy validatsiyadan o‘tkazish;
  4. Har bir foydalanuvchi uchun minimal zarur imtiyozlar siyosatini joriy etish (“least privilege principle”);
  5. SQL Server jurnal yozuvlarini (logs) muntazam kuzatib borish.

CVE-2025-59499 zaifligi SQL Server infratuzilmasiga jiddiy tahdid soladi. Tizim ma’murlari uchun eng muhim choralar — yangilanishlarni zudlik bilan o‘rnatish va SQL so‘rovlarida kiruvchi ma’lumotlarni to‘liq filtrlash hisoblanadi. Bunday zaifliklar hujumchilar tomonidan korporativ tarmoqlarga kirish, maxfiy ma’lumotlarni o‘g‘irlash yoki tizim ustidan to‘liq nazorat o‘rnatish uchun foydalanilishi mumkin.