Oddiy surat orqali ham tizim egallanishi mumkinmi? Windows’da aniqlangan xavfli zaiflik haqida

Dunyo bo‘ylab milliardlab qurilmalarda ishlayotgan Windows operatsion tizimida navbatdagi o‘ta xavfli zaiflik aniqlandi. Bu safargi tahdidning dahshatli tomoni shundaki — hujumchi tizimni faqat bitta maxsus tayyorlangan JPEG surati yordamida egallab olishi mumkin. Hech qanday dastur o‘rnatish, hech qanday maxsus harakat shart emas: oddiy rasm yetarli.

Microsoft tomonidan CVE-2025-50165 sifatida ro‘yxatga olingan ushbu nuqsonning CVSS bahosi 9.8 bo‘lib, u eng xavfli toifadagi zaifliklar qatoriga kiradi.

Zaiflikning ildizi: windowscodecs.dll kutubxonasidagi xato

2025-yil may oyida Zscaler ThreatLabz tadqiqotchilari Windows Rendering Component’ni chuqur fuzzing qilganida g‘ayrioddiy xatolikni kuzatishdi. Tekshiruvlar “windowscodecs.dll” kutubxonasida ishonchsiz pointerni chaqirish (untrusted pointer dereference) mavjudligini ko‘rsatdi. Bu kutubxona JPEG tasvirlarini ochish, kodlash va dekodlashda asosiy rol o‘ynaydi.

Muammo aynan GpReadOnlyMemoryStream::InitFile funksiyasidagi noto‘g‘ri bufer boshqaruvidan kelib chiqqan. Hujumchi JPEG faylining metama’lumotlarini manipulyatsiya qilgan holda:

  • tizim xotirasidan notog‘ri ma’lumot o‘qitishi,
  • uninitialized pointer’ni majburan faoliyatga jalb qilishi,
  • heap spraying orqali xotiradagi bloklarni nazorat ostiga olishi
    imkoniga ega bo‘ladi.

Natijada rasm ochilganda yoki Office hujjati ichidagi surat “preview” qilinayotganda, tajovuzkor hech qanday vakolatsiz tizimda o‘z kodini masofadan bajarishi mumkin.

Hujum qanchalik oson?

Bu zaiflikning eng xavfli jihati shundaki:

  • foydalanuvchi hech narsani bosishi yoki ruxsat berishi shart emas,
  • JPEG rasm Office hujjati, e-pochta biriktirmasi yoki boshqa har qanday faylga yashirilsa yetarli,
  • Windows uni avtomatik qayta ishlaganda hujum sodir bo‘ladi.

Bu esa uni phishing, drive-by download, hatto oddiy fayl almashinuvi orqali ham juda xavfli qiladi.

Zaiflikning texnik aniqlanishi

Zscaler fuzzing jarayonida quyidagilarni qayd etdi:

  • xato jpeg_finish_compress+0xcc funksiyasida namoyon bo‘lgan;
  • xotira boshqaruviga ta’sir qila oladigan metama’lumotlar JPEG ichida yaratilishi mumkin;
  • WinDbg stack trace’lari muammoni CJpegTurboFrameEncode::HrWriteSource va CFrameEncodeBase::WriteSource funksiyalariga bog‘lagan.

Tahlillardan keyin Microsoft xatoni tasdiqladi va uning Windows’ning ko‘plab zamonaviy versiyalariga ta’sir qilayotganini e’lon qildi.

Ta’sir qilgan versiyalar va yamalar

Quyidagi Windows qurilmalari zaif bo‘lgan:

MahsulotTa’sirlangan versiyaTuzatilgan versiya
Windows Server 202510.0.26100.485110.0.26100.4946
Windows 11 24H2 (x64)10.0.26100.485110.0.26100.4946
Windows 11 24H2 (ARM64)10.0.26100.485110.0.26100.4946
Windows Server 2025 (Core)10.0.26100.485110.0.26100.4946

Microsoft ushbu zaiflikni 2025-yil 12-avgust Patch Tuesday yangilanishlarida yopdi.

Ekspluatatsiya qanday ishlaydi?

Hujumchilar maxsus tayyorlangan JPEG fayl yaratadi. Fayl dekodlash jarayonida:

  1. pointer noto‘g‘ri xotira manziliga yo‘naltiriladi;
  2. heap spraying orqali 0x3ef7 o‘lchamdagi segmentlar zararlangan ma’lumotlar bilan to‘ldiriladi;
  3. 64-bit tizimlarda Control Flow Guard (CFG) ROP zanjirlari bilan chetlab o‘tiladi;
  4. VirtualAlloc orqali R/W/X (o‘qish-yozish-ishga tushirish) xususiyatiga ega xotira ajratilib, unga shellcode joylashtiriladi.

Natijada hujumchi tizimni to‘liq boshqarish — fayllarni o‘g‘irlash, orqa eshik o‘rnatish, ransomware ishlatish — imkoniga ega bo‘ladi.

Yana xavfli jihat: 32-bit Windowslarda CFG standart bo‘yicha o‘chirilgan, bu esa eski kompyuterlarda hujumni yanada osonlashtiradi.

Amaliy misol: Zscaler ekspluatatsiya demonstratsiyasi

Zscaler o‘zining isbot-konsepsiya hujjatida Base64 ko‘rinishidagi JPEG’ni qayta ishlaydigan kichik ilova yaratdi. Ilova JPEG’ni o‘qish chog‘ida:

  • xotira ajratadi,
  • uni bo‘shatadi,
  • qayta yuklaydi,

va shu jarayonda RIP registrini nazorat ostiga olishga muvaffaq bo‘ladi — bu esa to‘liq kod bajarish huquqi degani.

Hozircha real hujumlar kuzatilmagan, ammo zaiflikning soddaligi uni ransomware va maxfiy josuslik amaliyotlari uchun eng jozibali nishonga aylantiradi.

Himoyalanish bo‘yicha tavsiyalar

Microsoft va Zscaler quyidagilarni qat’iy tavsiya qiladi:

  • 2025-yil avgust yangilanishlarini zudlik bilan o‘rnating
  • Email mijozlarida avtomatik rasm ko‘rish funksiyasini o‘chirib qo‘ying
  • Sandboxing va fayllarni ajratilgan muhitte ochish siyosatini kuchaytiring
  • Tarmoqlarda g‘alati JPEG fayllarni aniqlash uchun monitoringni kuchaytiring

Zscaler allaqachon o‘z bulutli xavfsizlik platformasida ushbu ekspluatatsiyani bloklovchi himoyani joriy qilgan.

Windows grafik modulidagi ushbu xato yana bir bor shuni isbotladi:

Hatto eng oddiy va zararli ko‘rinmaydigan fayl ham — rasm yoki ikonka — jiddiy kiberhujum vositasiga aylanishi mumkin.

Korxonalarda JPEG fayllar millionlab hujjatlar, elektron pochta xabarlari va ish jarayonining ajralmas qismi hisoblanadi. Shunday ekan, grafik kutubxonalaridagi zaifliklar millionlab qurilmalarga bir vaqtning o‘zida ta’sir qiladi.

Kiberjinoyatchilar tobora mohir va aqlli bo‘lib bormoqda — ularga qarshi eng kuchli mudofaa esa o‘z vaqtida yangilanishlarni o‘rnatish va ehtiyotkorlikdir.