Windows Cloud Files Mini Filter drayveridagi TOCTOU zaifligi — SYSTEM darajasiga ko‘tarilish xavfi

Microsoft operatsion tizimining Cloud Files Mini Filter drayverida (cldsync.sys yoki cldflt.sys) jiddiy Time-of-Check Time-of-Use (TOCTOU) turlariga mansub zaiflik aniqlangan. Ushbu muammo — CVE-2025-55680 — mahalliy hujumchi uchun tizimdagi fayl-yozish cheklovlarini aylanib o‘tishga va natijada SYSTEM huquqlarini qo‘lga kiritishga imkon beradi.

Zaiflikning mohiyati — qanday ishlaydi?

Muammo Cloud Files Filter drayverining placeholder (ma’lumotlar xotiradagi “joytaxtasi”) yaratish jarayonidagi fayl yo‘lini tekshirishda paydo bo‘ladi. Funktsiyalar ketma-ketligi quyidagicha:
HsmFltProcessHSMControl → HsmFltProcessCreatePlaceholders → HsmpOpCreatePlaceholders.

Avvalgi yamoqlarda (CVE-2020-17136 dan keyin) drayver fayl yo‘lida \ yoki : belgilarining noto‘g‘ri ishlatilishini oldini olish uchun tekshiruv qo‘shilgan. Ammo hozirgi versiyada bu tekshiruv vaqt oynasida (TOCTOU) buzilib, kernel xotirasidagi yo‘l satri tekshiruvdan so‘ng, lekin fayl yaratishdan oldin boshqa ip (thread) tomonidan o‘zgartirilishi mumkin. Natijada, xavfsizlik tekshiruvidan o‘tgan, ammo keyin zararli yo‘lga aylantirilgan satr drayver tomonidan amalga oshiriladi — bu esa himoyalangan kataloglarga yozishga yoki tizim kutubxonalariga (DLL) zararli fayl joylashtirishga olib keladi.

Ekspluatatsiya odatda quyidagi bosqichlarda amalga oshiriladi:

1. Lokal hujumchi Remote Access Service (rasman) xizmatini ishga tushiradi va Cloud Files API orqali sinxronizatsiya ildizini yaratadi.
2. Drayver bilan DeviceIoControl chaqiriqlari orqali muloqot o‘rnatadi va filterni boshqaruvchi portni ochadi.
3. Bir ip fayl yaratish operatsiyasini boshlaydi, ikkinchi ip esa kernel xotirasidagi yo‘l satrini juda tez-tez o‘zgartirib, race condition (TOCTOU) oynasini hosil qiladi.
4. Agar vaqti to‘g‘ri kelib tushsa, drayver noto‘g‘ri yo‘lga ega faylni yuqori huquq bilan yaratadi. Hujumchi shu orqali masalan, rasmxs.dll kabi zararli DLLni tizim papkasiga yozib, RPC yoki xizmat chaqiriqlari orqali uni yuklatadi — natijada butun tizim kompromat (to‘liq egallangan) bo‘lishi mumkin.

Ekspluatatsiya uchun boshlang‘ich talab — mahalliy kirish (local access). Biroq, oddiy foydalanuvchi huquqlari bilan ham hujumchi SYSTEM darajasiga ko‘tarilib, tizimda doimiy iz qoldirish (persistence) imkoniyatiga ega bo‘lishi mumkin.

Qaysi tizimlar ta’sirlangan?

Bu zaiflik Cloud Files va OneDrive Files On-Demand funksiyasini qo‘llab-quvvatlaydigan Windows versiyalarining ko‘pchiligiga ta’sir qilishi mumkin. Microsoft 2025-yil oktabrida chiqargan patch muammoni yengillashtirgan, shuning uchun tizim administratorlari o‘z muhitlarida Cloud Files xizmatini tekshirib chiqishlari zarur.

Tavsiya etiladigan choralar (amalga oshiriladigan taktika)

• Yamoqlarni darhol o‘rnatish. Microsoft tomonidan chiqarilgan oktabr patchlarini imkon qadar tezroq tatbiq qiling.
• Mahalliy huquqlarni cheklash. Foydalanuvchilarni minimal huquqlar tamoyiliga muvofiq ishga tushiring.
• RAS va keraksiz xizmatlarni cheklash. Agar kerak bo‘lmasa, rasman va boshqa tarmoqli xizmatlarni o‘chiring yoki ularga kirishni cheklang.
• EDR va kernel darajasidagi monitoring. Endpoint Detection & Response yechimlarini kernel darajasidagi hodisalarni aniqlashi uchun sozlang; noaniq DeviceIoControl chaqiriqlari va g‘ayritabiiy xotira yozishlarini kuzating.
• Fayl tizimi va DLL monitoringi. System papkalariga yozilish urinishlari va yangi yuklangan DLL’lar haqida real-vaqt ogohlantirishlarni yoqing.
• Xodimlarni ogohlantirish va trening. Ichki xavfsizlik siyosatini yangilang, foydalanuvchilarga lokal huquqlarning xavfi haqida ma’lumot bering.

CVE-2025-55680 — klassik TOCTOU mantiqiy xatosi: tekshiruv va haqiqiy foydalanish orasidagi vaqt oynasidan foydalangan holda tizim himoyasi chetlab o‘tiladi. Garchi ekspluatatsiya timingga (sinxronizatsiyaga) bog‘liq bo‘lsa ham, muvaffaqiyatli hujum tizimni butunlay egallashga olib keladi. Shuning uchun yangilanishlar majburiy, va minimal huquqlar + EDR/monitoring qo‘shimcha, zarur himoya qatlamlari hisoblanadi.