Windows Server Update Services’da jiddiy zaiflik: tizimlar masofadan boshqarilmoqda

2025-yil oktyabr oyida Microsoft’ning Windows Server Update Services (WSUS) tizimida aniqlangan CVE-2025-59287 raqamli xavfsizlik zaifligi kiberxavfsizlik sohasida jiddiy xavotir uyg‘otdi. Endilikda ushbu zaiflik uchun Proof-of-Concept (PoC) ekspluat kodi ham e’lon qilindi, bu esa tahdid darajasini yanada oshirdi.

Mazkur zaiflik orqali autentifikatsiyasiz hujumchilar WSUS serverlarida SYSTEM darajasidagi imtiyozlar bilan masofadan kod bajarish (Remote Code Execution) hujumini amalga oshirishlari mumkin.

Zaiflikning mohiyati

CVE-2025-59287 zaifligi AuthorizationCookie ma’lumotlarini qayta ishlashdagi xavfsiz bo‘lmagan deserializatsiya jarayoni bilan bog‘liq. WSUS tizimi foydalanuvchidan olingan cookie ma’lumotlarini AES-128-CBC algoritmi yordamida shifrdan chiqaradi, ammo uni to‘g‘ridan-to‘g‘ri .NET’dagi BinaryFormatter orqali deserializatsiya qiladi.

Bu eski serializer obyekt turlarini cheklamaydi, natijada tajovuzkor maxsus yaratilgan zararli obyektni tizimga yuborib, u orqali ixtiyoriy kodni ishga tushirishi mumkin. Bunday jarayon SYSTEM kontekstida bajariladi, ya’ni server to‘liq nazoratga o‘tadi.

Microsoft ushbu zaiflikni CVSS 9.8 ball bilan “Critical” deb baholagan va uni “Exploitation More Likely” (ya’ni ekspluatatsiya ehtimoli yuqori) sifatida tasniflagan. Bu esa WSUS serverlari o‘rtasida “qurt” singari avtomatik tarqalish xavfini anglatadi.

Hujum jarayoni qanday kechadi?

Tadqiqotchi “hawktrace” tomonidan GitHub’da e’lon qilingan PoC misolida hujum quyidagicha amalga oshiriladi:

  1. Tajovuzkor WSUS serverining ClientWebService endpoint’iga (port 8530) autentifikatsiyasiz HTTP POST so‘rov yuboradi.
  2. So‘rov ichida SOAP formatidagi xabar joylashgan bo‘lib, unda soxtalashtirilgan AuthorizationCookie mavjud.
  3. Server cookie’ni oldindan belgilangan kalit (“877C14E433638145AD21BD0C17393071”) yordamida shifrdan chiqaradi va deserializatsiya jarayonini boshlaydi.
  4. Natijada tajovuzkorning C# tilida yaratilgan zararli obyekt kodi ishga tushadi (masalan, “calc.exe”ni ishga tushirish yoki tizim buyrug‘ini bajarish).

Eng xavfli jihati shundaki, bu jarayon foydalanuvchi ishtirokisiz sodir bo‘ladi. Agar WSUS server internetga yoki ochiq tarmoqqa ulanib turgan bo‘lsa, u avtomatik ravishda hujum nishoniga aylanadi.

Ta’sir ko‘lami va xavf darajasi

Zaiflik Windows Server 2012 dan 2025-yilgacha bo‘lgan barcha qo‘llab-quvvatlanayotgan versiyalarni qamrab oladi.
WSUS — Microsoft’ning yirik korporativ tarmoqlarda yangilanishlarni markazlashtirilgan tarzda tarqatish uchun mo‘ljallangan xizmatidir. Shu sababli, bitta WSUS serverni egallash orqali hujumchi butun tarmoqdagi mijoz kompyuterlariga zararli yangilanishlar yuborishi mumkin.

Bu holat supply chain (ta’minot zanjiri) hujumlari uchun ideal ssenariydir — WSUS’ning ishonchli mexanizmi orqali zararli kod tarqaladi, foydalanuvchilar esa uni rasmiy yangilanish deb qabul qiladi.

Microsoft va mutaxassislar tavsiyalari

Microsoft ushbu zaiflikni topgan “MEOW” taxallusli tadqiqotchiga minnatdorlik bildirib, barcha tashkilotlarga quyidagilarni zudlik bilan amalga oshirishni tavsiya etdi:

  1. 2025-yil oktabr oylik xavfsizlik yangilanishlarini Windows Update yoki WSUS orqali o‘rnatish.
  2. WSUS serverlarini izolyatsiya qilingan tarmoqqa joylashtirish va faqat ishonchli manbalarga ulanishga ruxsat berish.
  3. Tarmoqlararo ekranda (firewall) 8530 va 8531 portlarini cheklash, agar ular tashqi tarmoqqa ochiq bo‘lsa.
  4. SOAP trafigini tahlil qilish, g‘ayritabiiy so‘rovlarni aniqlash uchun IDS/IPS tizimlaridan foydalanish.
  5. Uzoq muddatli yechim sifatida Microsoft BinaryFormatter o‘rniga JSON yoki XML serializerlari kabi xavfsizroq mexanizmlarga o‘tishni tavsiya qilmoqda.

CVE-2025-59287 — bu WSUS infratuzilmasidagi tizimli ishonch mexanizmlarini suiste’mol qilishga imkon beruvchi xavfli zaiflikdir. U orqali nafaqat bitta server, balki butun tarmoqdagi kompyuterlar zanjirsimon tarzda zararlanishi mumkin.

Kiberxavfsizlik mutaxassislari bu holatni “tizim ichidagi ishonchga qarshi hujum” deb atamoqda. Chunki WSUS — o‘zi himoya vositasi sifatida yaratilgan tizim bo‘lsa-da, bugun u kiberjinoyatchilar uchun yangi eshikni ochmoqda.

Shu sababli, tashkilotlar yangilanishni kechiktirmaslik, WSUS’ni faqat ichki tarmoqda ishlatish va deserializatsiya xavflariga qarshi nazorat choralarini kuchaytirish zarurligini unutmasliklari kerak.