Windows Server 2025'da SYSTEM huquqlarini qo'lga kiritishga imkon beruvchi yangi NTLM zaifligi uchun PoC e'lon qilindi.

Microsoft operatsion tizimlari xavfsizligiga oid yana bir jiddiy zaiflik kiberxavfsizlik mutaxassislari e’tiborini tortdi. CVE-2026-24294 identifikatori bilan ro’yxatdan o’tkazilgan ushbu zaiflik uchun amalda ishlovchi Proof-of-Concept (PoC) ekspluatatsiya kodi ommaga taqdim etildi. Mazkur zaiflik muvaffaqiyatli ekspluatatsiya qilinganda, tajovuzkor Windows Server 2025 tizimida NT AUTHORITY\SYSTEM darajasidagi eng yuqori imtiyozlarga ega bo’lishi mumkin.

Yangi zaiflik Microsoft tomonidan avval bartaraf etilgan deb hisoblangan NTLM Reflection hujumlarining yana qayta paydo bo’lishi mumkinligini ko’rsatmoqda. Bu esa Windows autentifikatsiya mexanizmlaridagi ayrim fundamental muammolar hali ham to’liq bartaraf etilmaganini anglatadi.

NTLM Reflection hujumi nima?

NTLM (NT LAN Manager) — Windows tizimlarida uzoq yillardan buyon qo’llanilib kelinayotgan autentifikatsiya protokollaridan biridir. Garchi Microsoft so’nggi yillarda Kerberos va boshqa zamonaviy autentifikatsiya usullariga o’tishni tavsiya qilayotgan bo’lsa-da, ko’plab korporativ infratuzilmalarda NTLM hanuz faol ishlatilmoqda.

NTLM Reflection hujumi esa tizimni o’ziga o’zi autentifikatsiya qilishga majburlash orqali foydalanuvchi yoki tizim xizmatining autentifikatsiya ma’lumotlarini ushlab qolish va ulardan qayta foydalanishga asoslanadi. Natijada tajovuzkor yuqori darajadagi imtiyozlarga ega bo’lishi mumkin.

Avvalgi zaiflik va yangi chetlab o’tish usuli

2025-yilda aniqlangan CVE-2025-33073 zaifligi NTLM Reflection hujumlarini yana dolzarb tahdidga aylantirgan edi. O’shanda Microsoft SMB mijozi darajasida himoya mexanizmini joriy qilib, maxsus shakllantirilgan autentifikatsiya so’rovlarini bloklagan.

Biroq mutaxassislar ushbu himoya faqat bitta ekspluatatsiya usulini bartaraf etganini, autentifikatsiya arxitekturasidagi asosiy muammo esa saqlanib qolganini ta’kidlagan edilar.

Oradan ko’p o’tmay, ushbu taxmin o’z tasdig’ini topdi va tadqiqotchilar himoya mexanizmini chetlab o’tuvchi yangi usulni aniqlashga muvaffaq bo’ldilar.

Zaiflik qanday ishlaydi?

Yangi hujum usuli Windows 11 24H2 va Windows Server 2025 versiyalarida joriy etilgan yangi imkoniyatdan foydalanadi. Endilikda SMB ulanishlari faqat an’anaviy 445-port orqali emas, balki ixtiyoriy TCP portlari orqali ham amalga oshirilishi mumkin.

Aslida ushbu imkoniyat SMB xizmatlarini yanada moslashuvchan ishlatish maqsadida ishlab chiqilgan edi. Ammo amalda u yangi hujum ssenariysi uchun qulay imkoniyat yaratib berdi.

Hujum bir necha bosqichda amalga oshiriladi.

Avvalo tajovuzkor qurilmaning o’zida nostandart TCP portida (masalan, 12345-port) zararli SMB serverini ishga tushiradi va Windows tizimini aynan shu serverga ulanishga majbur qiladi. Windows SMB mijozi ushbu server bilan TCP sessiyasini yaratadi va uni faol holatda saqlab turadi.

Keyingi bosqichda tajovuzkor LSASS (Local Security Authority Subsystem Service) kabi SYSTEM huquqlarida ishlovchi xizmatni maxsus usullar yordamida aynan shu SMB resursiga murojaat qilishga majbur qiladi.

Windows mavjud TCP ulanishidan qayta foydalangan holda SYSTEM nomidan NTLM autentifikatsiyasini amalga oshiradi.

Shu paytda tajovuzkor autentifikatsiya ma’lumotlarini ushlab qoladi va ularni haqiqiy SMB xizmatiga uzatish orqali NT AUTHORITY\SYSTEM nomidan autentifikatsiyadan muvaffaqiyatli o’tadi. Natijada server ustidan to’liq nazorat qo’lga kiritiladi.

PoC qanday vositalar yordamida yaratildi?

Synacktiv kompaniyasi tadqiqotchilari ushbu zaiflikni muvaffaqiyatli ekspluatatsiya qiluvchi PoC namunasi ishlab chiqdilar.

Ekspluatatsiya quyidagi vositalardan foydalanadi:

Impacket smbserver.py — lokal SMB serverini ishga tushirish uchun;
Impacket ntlmrelayx — ushlangan NTLM autentifikatsiyasini uzatish (relay) uchun;
PetitPotam dasturining o’zgartirilgan versiyasi — SYSTEM xizmatlarini autentifikatsiyaga majburlash uchun;
Windows net.exe — SMB ulanishlarini tashkil etish uchun.

Mazkur vositalar uyg’un holda ishlatilganda Windows Server 2025 tizimida SYSTEM darajasidagi huquqlarni qo’lga kiritish mumkin.

Qaysi tizimlar xavf ostida?

Tadqiqotchilar sinov natijalariga ko’ra:

Windows Server 2025 standart konfiguratsiyada ushbu hujumga zaif hisoblanadi;
Windows 11 24H2 esa odatiy holatda zaif emas.

Bunga sabab Windows 11 24H2 tizimida SMB Signing mexanizmi majburiy yoqilgan bo’lib, u relay hujumlarini protokol darajasida bloklaydi.

Agar Windows Server muhitida SMB Signing majburiy yoqilmagan bo’lsa, zaiflikni ekspluatatsiya qilish ehtimoli sezilarli darajada ortadi.

Microsoft qanday choralar ko’rdi?

Microsoft zaiflikni CVE-2026-24294 identifikatori ostida ro’yxatdan o’tkazib, 2026-yil mart oyidagi Patch Tuesday xavfsizlik yangilanishlari tarkibida tegishli tuzatishni e’lon qildi.

Mazkur yangilanish aynan ushbu NTLM Reflection ssenariysini bartaraf etadi.

Biroq mutaxassislarning fikricha, bu NTLM bilan bog’liq muammolarning to’liq hal qilinganini anglatmaydi. NTLM korporativ tarmoqlarda qo’llanilishda davom etar ekan va SMB Signing barcha muhitlarda majburiy yoqilmas ekan, yangi shunga o’xshash ekspluatatsiya usullari paydo bo’lishi ehtimoldan xoli emas.

Tashkilotlar uchun tavsiyalar

Kiberxavfsizlik mutaxassislari quyidagi choralarni ko’rishni tavsiya etmoqda:

Windows Server tizimlariga Microsoft tomonidan chiqarilgan so’nggi xavfsizlik yangilanishlarini zudlik bilan o’rnatish;
SMB Signing funksiyasini barcha serverlarda majburiy yoqish;
imkon qadar NTLM autentifikatsiyasidan voz kechib, Kerberos kabi zamonaviy autentifikatsiya mexanizmlaridan foydalanish;
nostandart TCP portlari orqali amalga oshirilayotgan SMB trafiklarini doimiy monitoring qilish;
serverlarda g’ayrioddiy SMB ulanishlari va autentifikatsiya urinishlarini kuzatish;
LSASS va boshqa imtiyozli xizmatlarning noodatiy SMB faoliyatini aniqlash uchun EDR hamda SIEM yechimlaridan foydalanish;
tarmoq segmentatsiyasi va «eng kam imtiyoz» (Least Privilege) tamoyillarini qat’iy joriy etish.

CVE-2026-24294 zaifligi yana bir bor shuni ko’rsatdiki, autentifikatsiya mexanizmlaridagi bitta ekspluatatsiya usulini bartaraf etish muammoning to’liq hal etilganini anglatmaydi. NTLM protokoli hanuzgacha ko’plab korporativ infratuzilmalarda qo’llanilayotgan ekan, tajovuzkorlar undan foydalanishning yangi usullarini izlashda davom etishadi.

PoC ekspluatatsiya kodining ommaga e’lon qilinishi esa ushbu tahdidni yanada dolzarb qiladi. Shu sababli tashkilotlar Microsoft tomonidan chiqarilgan xavfsizlik yangilanishlarini imkon qadar tezroq o’rnatishlari, SMB Signing mexanizmini majburiy yoqishlari hamda NTLM’dan bosqichma-bosqich voz kechish bo’yicha strategiyani ishlab chiqishlari muhim hisoblanadi. Aks holda bunday zaifliklar korporativ infratuzilmalarning to’liq komprometatsiya qilinishiga va eng yuqori darajadagi tizim huquqlarining tajovuzkorlar qo’liga o’tishiga olib kelishi mumkin.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Windows Server 2025’da SYSTEM huquqlarini qo’lga kiritishga imkon beruvchi yangi NTLM zaifligi uchun PoC e’lon qilindi.

NTLM Reflection hujumi nima?

Avvalgi zaiflik va yangi chetlab o’tish usuli

Zaiflik qanday ishlaydi?

PoC qanday vositalar yordamida yaratildi?

Qaysi tizimlar xavf ostida?

Microsoft qanday choralar ko’rdi?

Tashkilotlar uchun tavsiyalar

NTLM Reflection hujumi nima?

Avvalgi zaiflik va yangi chetlab o’tish usuli

Zaiflik qanday ishlaydi?

PoC qanday vositalar yordamida yaratildi?

Qaysi tizimlar xavf ostida?

Microsoft qanday choralar ko’rdi?

Tashkilotlar uchun tavsiyalar

Oracle E-Business Suite’dagi kritik zaiflik real kiberhujumlarda faol ekspluatatsiya qilinmoqda!

Progress Kemp LoadMaster’da aniqlangan kritik zaiflik korporativ tarmoqlarni jiddiy xavf ostida qoldirmoqda!

Kali Linux 2026.2 taqdim etildi: 9 ta yangi xavfsizlik vositasi, tezlashtirilgan virtual mashinalar va keng ko‘lamli yangilanishlar!