Windows Cloud Files minifilter’dagi zaiflik: lokal hujumchilar SYSTEM huquqini qo‘lga kiritishi mumkin

Microsoft 2025-yil oktabr oyida Windows’ning Cloud Files Minifilter drayveridagi jiddiy zaiflikni (CVE-2025-55680) tuzatdi. Tadqiqotchilar (Exodus Intelligence) tomonidan aniqlangan bu TOCTOU (time-of-check to time-of-use) xatosi mahalliy hujumchilarga past darajadagi imtiyozlardan boshlab tizim bo‘ylab ustuvor huquqlar — hatto SYSTEM darajasiga ko‘tarilish imkonini beradi. Microsoft bu nuqsonni oktyabr oyidagi Patch Tuesday yangilanishlari orqali bartaraf qildi; xavf darajasi CVSS boʻyicha 7.8 deb baholangan.

Zaiflik mohiyati — cloud-placeholderlar va TOCTOU xatosi

Cloud Files Minifilter (cldflt.sys) — masalan, OneDrive Files On-Demand kabi bulut-fayllarni «placeholder» sifatida boshqaradi. Foydalanuvchi fazosidan kelgan nomlar kernelga xaritalanadi va u yerda tekshiruvdan o‘tib, so‘ngra fayl yaratiladi.
CVE-2025-55680’da muammo shu tekshiruv (check) va foydalanish (use) orasidagi kichik vaqt oynasidan (TOCTOU) foydalangan holda yuzaga keladi. Hujumchi xaritalangan foydalanuvchi buferini o‘zgartirib, masalan, oddiy belgi (D)ni yo‘l ajratuvchi (\) ga aylantiradi — natijada drayver junction orqali himoyalangan katalog (masalan, C:\Windows\System32) ga yozadi. Shu tariqa huquqiy cheklovlar chetlab o‘tiladi va zararli DLL fayli System32 ichiga qo‘yilib, DLL side-loading orqali yuqori darajadagi (SYSTEM) kod bajarilishi amalga oshirilishi mumkin.

Tadqiqotchilar tomonidan e’lon qilingan PoC murakkab timing va «spray» texnikalarini qo‘llaydi, ammo asosiy zaiflik — oddiy TOCTOU xatosi.

Kimlar xavf ostida?

  • Windows ish stantsiyalari va serverlari, OneDrive yoki boshqa Cloud Files funksiyasidan foydalanadigan mashinalar.
  • Agar tizimda lokal (mahalliy) foydalanuvchi kirishi mavjud bo‘lsa, hujumchi shu nuqson orqali yuqori imtiyozlarni qo‘lga kiritishi mumkin.

Hozirga qadar keng miqyosli ekspluatatsiya tasdiqlanmagan, lekin ommaga chiqarilgan PoC mavjudligi ehtiyot choralarini tezroq amalga oshirishni talab etadi.

Darhol bajarilishi lozim bo‘lgan chora-tadbirlar

  1. Yangilash. Microsoft tomonidan chiqarilgan Patch Tuesday yangilanishlarini zudlik bilan o‘rnating va tizimni qayta ishga tushiring.
  2. Files On-Demand vaqtincha o‘chirilsin. Agar yangilashni kechiktirishga to‘g‘ri kelsa, Files On-Demand yoki avtomatik sinxronlashni vaqtincha o‘chirib qo‘ying.
  3. Mahalliy huquqlarni cheklang. Noaniq foydalanuvchilarga fayl yaratish va muayyan kataloglarga yozish imkoniyatini cheklang.
  4. App whitelisting joriy qiling. AppLocker yoki WDAC yordamida System32 va boshqa himoyalangan kataloglarga ruxsatsiz yozishni oldini oling.
  5. Monitoringni kuchaytiring. EDR/SIEM’da quyidagilarni aniqlaydigan qoidalar qo‘ying: System32ga yangi fayl yozilishi, sync-root jarayonlarida noodatiy yozuvlar, cldflt bilan bog‘liq shubhali IOCTL chaqiruvlari.
  6. Forensika va audit. Shubhali faoliyat aniqlansa, hozirgi xotira nusxalarini va jurnal yozuvlarini saqlab, forensik tekshiruv o’tkazing.

Uzoq muddatli tavsiyalar

  • Patch management jarayonini mustahkamlang: yadro va drayver yangilanishlarini tez va xavfsiz tarqating.
  • Arxitektura auditi o‘tkazing: foydalanuvchi hamda kernel maydoniga xaritalash va shared-memory operatsiyalarini qayta ko‘rib chiqing.
  • Yadro darajasidagi himoya vositalarini joriy eting: kernel monitoringi va integrity checking yordamida shubhali IOCTL chaqiruvlarini aniqlang.

CVE-2025-55680 — foydalanuvchi va kernel maydonlari orasidagi kichik vaqt oralig‘i ham qanday jiddiy xavf tug‘dirishini ko‘rsatadi. Microsoft yangilanishlarni chiqargan, ammo tashkilotlar zudlik bilan yangilash, monitoring va ilova boshqaruvi choralarini amalga oshirishi shart.