Windows BitLocker’da aniqlangan zaifliklar tizimni to‘liq egallash imkonini berdi

Microsoft o‘zining mashhur BitLocker shifrlash tizimida ikki jiddiy zaiflikni bartaraf etdi. Bu zaifliklar — CVE-2025-54911 va CVE-2025-54912 — 2025-yil 9-sentabr kuni oshkor qilindi va ular “Juda xavfli” toifaga kiritildi.

Zaiflikning mohiyati

Mazkur xatoliklar Use-After-Free turiga kiradi (CWE-416). Ya’ni, dastur allaqachon bo‘shatilgan yoki foydalanishdan chiqarilgan xotira maydoniga murojaat qilishda davom etadi. Bunday holat xakerlarga ushbu bo‘sh xotira hududiga zararli ma’lumot yozib, dastur ishini o‘z foydasiga burish imkonini beradi.

Agar hujumchi zaiflikdan foydalansa, u Windows tizimida eng yuqori darajadagi — SYSTEM huquqlarini qo‘lga kiritishi mumkin. Bu esa unga:

  • dastur o‘rnatish,
  • mavjud fayllarni o‘qish, o‘chirish yoki o‘zgartirish,
  • yangi administrator huquqiga ega akkauntlar yaratish imkonini beradi.

Xavf darajasi

Microsoft zaifliklardan foydalanish ehtimolini “kamroq” deb baholagan bo‘lsa-da, ular tizim uchun nihoyatda xavfli hisoblanadi. Chunki ekspluatatsiya muvaffaqiyatli amalga oshirilsa, kompyuter to‘liq nazoratdan chiqishi mumkin.

Zaiflikdan foydalanish uchun xaker:

  • allaqachon tizimda past darajadagi huquqlarga ega bo‘lishi,
  • va foydalanuvchini muayyan harakatni bajarishga majburlashi kerak.

Shu sababli, masofaviy avtomatlashtirilgan hujumlar qiyinroq bo‘lsa-da, amaliy sharoitlarda xavf yuqoriligicha qolmoqda.

Microsoftning chorasi

Microsoft zaifliklarni 2025-yil sentabr oyidagi Patch Tuesday yangilanishi orqali tuzatdi. Kompaniya barcha foydalanuvchi va administratorlarga Windows Update orqali yangilanishlarni darhol o‘rnatishni qat’iy tavsiya qilmoqda.

Mazkur zaifliklardan biri — CVE-2025-54912 — Microsoft bilan hamkorlikda ishlagan xavfsizlik tadqiqotchisi Hussein Alrubaye tomonidan topilgan. Bu esa kompaniya va mutaxassislarning hamkorlikda olib borgan ishlari natijasida xavfsizlikni yanada mustahkamlashga qaratilganini ko‘rsatadi.

BitLocker — Windows’ning eng muhim himoya mexanizmlaridan biri. Unda aniqlangan bunday zaifliklar foydalanuvchilarni tizim to‘liq egallanishi kabi og‘ir oqibatlarga olib kelishi mumkin. Shuning uchun:

  • yangilanishlarni darhol o‘rnatish,
  • foydalanuvchilarni shubhali fayllar va amallardan ogohlantirish,
  • muntazam xavfsizlik choralarini ko‘rib borish zarur.

Bugungi yamoq ertangi kiberxurujni oldini oladi.