Skip to content

Windows LNK zaifligi: Microsoft xavfsizlikni e’tiborsiz qoldirmoqda

Bugungi raqamli dunyoda kiberxavfsizlik har qachongidan ham muhim ahamiyatga ega. Har kuni yangi zaifliklar va tahdidlar paydo bo‘lib, foydalanuvchilar va tashkilotlarning ma’lumotlarini xavf ostiga qo‘yadi. Yaqinda xavfsizlik tadqiqotchisi Nafiez tomonidan ochib berilgan Windows LNK fayllari (qisqartma fayllar) bilan bog‘liq yangi zaiflik kiberxavfsizlik sohasida katta shov-shuv ko‘tardi. Ushbu zaiflik xakerlarga foydalanuvchi faqat papkani ochishi orqali tizimga kirish va zararli kod ishga tushirish imkonini beradi. Eng hayratlanarlisi, Microsoft bu xatoni tuzatishdan bosh tortdi, chunki u ularning xavfsizlik mezonlariga mos kelmaydi.

Windows LNK fayllari – bu foydalanuvchilarga dastur, fayl yoki papkaga tez kirish imkonini beruvchi qisqartma fayllar. Oddiy ko‘rinishiga qaramay, bu fayllar xakerlar uchun jozibador nishonga aylandi. Nafiez tomonidan aniqlangan zaiflik LNK fayllarining ichki tuzilishidagi xatolardan foydalanadi. Xususan, zararli LNK fayllari maxsus manipulyatsiya qilingan EnvironmentVariableDataBlock va UNC yo‘llari (masalan, \\192.168.44.128\c) orqali tarmoqqa ulanishni avtomatik ravishda ishga tushiradi. Bu jarayon foydalanuvchi zararli faylni ochmasdan, faqat uni o‘z ichiga olgan papkaga kirishi bilanoq boshlanadi.

Nafiez o‘zining texnik tahlilida shunday deb yozadi: “Foydalanuvchi LNK fayli joylashgan papkaga kirganda, Windows Explorer ushbu papkadagi barcha fayllarni tahlil qiladi. Aynan shu jarayonda fayl ishga tushirishga tayyorlanadi va zararli kod faollashadi.” Bu zaiflikning eng xavfli jihati shundaki, u foydalanuvchidan hech qanday harakat talab qilmaydi – papkani ochishning o‘zi yetarli.

Zaiflikning ishlash mexanizmi quyidagi elementlarga asoslanadi:

  • HasArguments belgisi va EnvironmentVariableDataBlock orqali ijro jarayonini boshqarish.
  • Zararli UNC yo‘lini (masalan, tarmoqdagi soxta server manzili) maqsad sifatida o‘rnatish.
  • BlockSize va imzo qiymatlarini maxsus sozlash orqali LNK faylining xatti-harakatlarini nazorat qilish.

Windows Explorer ushbu fayllarni IInitializeNetworkFolder va IShellFolder2 kabi COM interfeyslari orqali qayta ishlaydi. Bu interfeyslar tarmoq resurslarini boshqaradi va papka ochilganda avtomatik ravishda ishga tushadi, bu esa zararli kodning jimjit tarzda ishga tushishiga imkon beradi.

Microsoft ushbu zaiflikni tuzatishdan bosh tortdi va buni Mark of the Web (MOTW) xavfsizlik funksiyasi yetarli himoya sifatida ko‘rsatdi. MOTW – bu internetdan yuklab olingan fayllarga qo‘yiladigan raqamli belgi bo‘lib, ularni ishga tushirishdan oldin xavfsizlik ogohlantirishlarini ko‘rsatadi. Microsoftning xavfsizlik mezonlariga ko‘ra, faqat “xavfsizlik chegarasi yoki funksiyasining maqsadi yoki niyatini buzuvchi” va jiddiy xavf darajasiga ega zaifliklar tuzatiladi. Ushbu holatda kompaniya zaiflikni yetarlicha jiddiy deb hisoblamadi.

Biroq, xavfsizlik mutaxassislari MOTW ga to‘liq ishonish xavfli ekanini ta’kidlamoqda. Masalan, Elastic Security Labs tadqiqotchilari yaqinda “LNK stomping” nomli usulni aniqladilar, bu usul orqali xakerlar MOTW ni chetlab o‘tishi mumkin. Bu usul so‘nggi olti yil davomida turli xujumlar uchun ishlatilgan. Shu sababli, faqat MOTW ga tayanish xavfsizlikni to‘liq ta’minlamaydi.

Nafiez tomonidan e’lon qilingan Proof-of-Concept (PoC) kodi ushbu zaiflikning qanchalik xavfli ekanini aniq ko‘rsatadi. PoC da LNK faylini yaratish uchun maxsus dastur ishlatiladi, bu fayl tarmoqdagi soxta serverga ulanishni boshlaydi va NTLM hashlarini yig‘ish uchun Responder vositasidan foydalanadi. Tadqiqotchi shunday deb yozadi: “Kodni kompilyatsiya qiling, LNK faylini yaratish uchun dasturni ishga tushiring va NTLM hashlarini yig‘ish uchun Responder vositasini faollashtiring.”

PoC kodining ochiq e’lon qilinishi xakerlar tomonidan ushbu zaiflikdan foydalanish ehtimolini oshiradi. Intezer xavfsizlik kompaniyasining ta’kidlashicha, “LNK fayllari oddiy ko‘rinishiga qaramay, xakerlar ular orqali boshqa zararli dasturlarni ishga tushirishi va katta zarar yetkazishi mumkin.” Bu zaiflikning jiddiy xavf tug‘dirishiga sabab shundaki, u foydalanuvchining faol ishtirokisiz ishlaydi va oddiy tarmoq ulanishi orqali tizimni egallashi mumkin.

LNK fayllari bilan bog‘liq zaifliklar yangilik emas. Microsoft avvalroq ushbu fayllar bilan bog‘liq bir qator jiddiy xavflarni bartaraf etgan edi. Masalan:

  • 2010-yilda LNK fayllaridagi zaiflik xakerlar tomonidan faol foydalanilib, USB qurilmalari orqali zararli kodlarni tarqatgan. Bu zaiflik Windows XP SP2 va Windows 2000 kabi eski tizimlarda ham xavfli edi.
  • 2017-yilda davlat homiyligidagi xakerlar guruhlari LNK fayllarini ishlatib, kiberjosuslik va ma’lumot o‘g‘irlash uchun xujumlar uyushtirgan. TheHackersNews xabariga ko‘ra, Xitoy, Rossiya, Eron va Shimoliy Koreyadan kelgan guruhlar ushbu zaiflikdan foydalangan.

Ushbu tarixiy holatlar LNK fayllarining xakerlar uchun doimiy jozibador nishon bo‘lib kelganini ko‘rsatadi. Yangi zaiflikning ochiq PoC kodi bilan birga e’lon qilinishi esa xavfni yanada oshiradi.

O‘zbekistonning IT sohasi so‘nggi yillarda jadal rivojlanmoqda. Moliya, elektron tijorat va davlat xizmatlari kabi sohalarda raqamlashtirish loyihalari kengaymoqda. Bunday muhitda kiberxavfsizlik nafaqat texnik talab, balki milliy xavfsizlik masalasiga aylandi. Ushbu yangi LNK zaifligi O‘zbekistonning davlat va xususiy tashkilotlari uchun jiddiy xavf tug‘diradi, chunki ko‘plab tizimlar hali ham Windows operatsion tizimiga asoslanadi.

Masalan, moliyaviy ilovalar yoki elektron hukumat tizimlari kabi muhim infratuzilmalar ushbu zaiflikka duch kelishi mumkin. Agar xakerlar tarmoqqa kirish huquqini qo‘lga kiritib, NTLM hashlarini o‘g‘lasa, ular foydalanuvchi hisoblarini egallashi va maxfiy ma’lumotlarni o‘g‘irlashi mumkin. O‘zbekistonlik IT mutaxassislari va tashkilotlari ushbu tahdidga qarshi zudlik bilan choralar ko‘rishi zarur.

Microsoftning ushbu zaiflikni tuzatmasligi foydalanuvchilar va tashkilotlarni o‘z xavfsizliklarini mustaqil ravishda ta’minlashga majbur qilmoqda. Quyida ba’zi amaliy tavsiyalar keltiriladi:

  1. MOTW ni Faollashtirish va Tekshirish: Yuklab olingan fayllarda MOTW belgisi mavjudligini tekshiring. Ammo uning chetlab o‘tilishi mumkinligini hisobga olib, qo‘shimcha choralar ko‘ring.
  2. Tarmoq Monitoringi: Tarmoqqa kiruvchi va chiqadigan ulanishlarni doimiy kuzatib boring. Web Application Firewall (WAF) kabi vositalar zararli ulanishlarni aniqlashga yordam beradi.
  3. Foydalanuvchi Ogohlantirishlari: Xodimlarni fishing xujumlari va noma’lum fayllarni ochish xavflari haqida o‘qitish zarur. LNK fayllari ko‘pincha elektron pochta orqali tarqatiladi.
  4. Tizim Yangilanishlari: Windows tizimini doimiy ravishda yangilab turing. Garchi bu zaiflik uchun maxsus yamoq bo‘lmasa-da, umumiy xavfsizlikni oshirish muhim.
  5. Antivirus va Xavfsizlik Dasturlari: Zamonaviy antivirus dasturlari LNK fayllaridagi zararli xatti-harakatlarni aniqlashi mumkin. Elastic Security Labs kabi vositalar LNK stomping usullarini aniqlashda samarali.

Windows LNK zaifligi kiberxavfsizlik sohasida jiddiy muhokamalarga sabab bo‘ldi. Microsoftning uni tuzatmaslik qarori ko‘plab mutaxassislarni xavotirga solmoqda, chunki ochiq PoC kodi xakerlar uchun qulay imkoniyat yaratadi. Ushbu zaiflik foydalanuvchining faol ishtirokisiz ishlaydi va oddiy papkani ochish orqali tizimni xavf ostiga qo‘yadi.

O‘zbekiston kabi raqamli transformatsiya yo‘lidan kelayotgan davlatlar uchun bu zaiflik alohida e’tibor talab qiladi. Mahalliy IT kompaniyalari va davlat tashkilotlari xavfsizlik choralarini kuchaytirishi, xodimlarni o‘qitishi va zamonaviy himoya vositalarini joriy etishi zarur. Kiberxavfsizlik – bu nafaqat texnologik masala, balki har bir foydalanuvchi va tashkilotning mas’uliyatidir.

Agar siz ushbu zaiflikdan himoyalanish yoki tizimingizni xavfsiz qilish bo‘yicha maslahatga muhtoj bo‘lsangiz, yozing – har bir qadamni batafsil tushuntiraman! Keling, raqamli dunyomizni birgalikda xavfsizroq qilaylik!