Windows SMB zaifligi faol ekspluatatsiya qilinmoqda: CISA ogohlantirmoqda

2025-yil 20-oktabr kuni AQShning Kiberxavfsizlik va infratuzilmani himoya qilish agentligi (CISA) Windows tizimlarida aniqlangan jiddiy zaiflik haqida favqulodda ogohlantirish e’lon qildi. Ushbu zaiflik — CVE-2025-33073 raqami ostida qayd etilgan bo‘lib, Microsoft Windows SMB Client komponentiga taalluqlidir.

CISA ma’lumotiga ko‘ra, bu zaiflik noto‘g‘ri kirish nazorati (Improper Access Control) tufayli yuzaga kelgan bo‘lib, u orqali tajovuzkorlar tizimda imtiyozlarni oshirish (privilege escalation) imkoniyatini qo‘lga kiritishi mumkin. Eng xavflisi shundaki, ushbu nuqson allaqachon reall hayotdagi hujumlarda faol ekspluatatsiya qilinmoqda.

SMB protokolidagi xavf: tizimlar yana nishonda

Mazkur zaiflik Windows SMB (Server Message Block) protokoli orqali amalga oshiriladi — bu esa Windows tizimlaridagi fayl almashish va tarmoq kommunikatsiyasining asosiy mexanizmidir. Hujumchilar maxsus tuzilgan skript yordamida qurbon kompyuterini o‘z serverlariga SMB orqali ulanishga majburlaydi.

Natijada, qurbonning tizimi tajovuzkor serveriga majburiy autentifikatsiya yuboradi va bu orqali hujumchi qurilmaga ruxsatsiz kirish hamda to‘liq nazorat o‘rnatish imkoniga ega bo‘ladi.

Mutaxassislarning ta’kidlashicha, ushbu zaiflik CWE-284 — Improper Access Control sinfiga kiradi. Bu esa SMB autentifikatsiya mexanizmlaridagi eski va tanish muammolarning davom etayotganini anglatadi. Shu kabi zaifliklar ilk bor 2017-yilda sodir bo‘lgan WannaCry epidemiyasi davridayoq kiberjinoyatchilar tomonidan faol ishlatila boshlangan edi.

Ransomware xavfi va yangi tahdidlar

Hujumlar odatda ijtimoiy muhandislik (social engineering) yoki drive-by download texnikalari orqali amalga oshiriladi — ya’ni foydalanuvchi xabarsiz tarzda zararli faylni ishga tushiradi. Shu bilan SMB mijozi tajovuzkor serveriga ulanadi va tizim ichki himoya qatlamlarini aylanib o‘tadi.

Bu jarayon tarmoqlar ichida yonalishli harakat (lateral movement) imkonini yaratadi, ya’ni bitta tizim zararlansa, butun tarmoqni egallash ehtimoli ortadi.

CISA hozircha bu zaiflik ransomware kampaniyalarida qo‘llanilayotganini tasdiqlamagan bo‘lsa-da, hujum usuli LockBit va Conti singari to‘dalarning ilgari qo‘llagan taktikalariga o‘xshaydi.

So‘nggi oylar davomida SMB bilan bog‘liq zaifliklar soni keskin oshgani, xususan Azure muhiti va moliya hamda sog‘liqni saqlash sektorlari asosiy nishonga aylangani qayd etilgan.

Mutaxassislar ogohlantiradi

Kiberxavfsizlik tahlilchisi Maria Gonzalez (SentinelOne) shunday deydi:

“Bu — Windows’ning standart sozlamalariga tayanadigan klassik hujum vektori. Administratorlar SMB’ni mustahkamlashni kechiktirmasliklari kerak, aks holda zanjirsimon buzilishlar yuz berishi mumkin.”

CISA tavsiyalari

CISA barcha tashkilotlarni Microsoft’ning so‘nggi xavfsizlik yangilanishlarini zudlik bilan o‘rnatishga chaqirmoqda. Agar buni hozircha amalga oshirishning imkoni bo‘lmasa:

• SMBv1 funksiyasini butunlay o‘chirib qo‘yish;
• minimal imtiyoz siyosatini (least privilege) joriy etish;
• Windows Defender yoki boshqa EDR vositalari orqali SMB trafikini monitoring qilish;
• Nessus yoki Qualys kabi skanerlar yordamida zaif tizimlarni aniqlash tavsiya etiladi.

Federal tashkilotlar uchun esa bu chora BOD 22-01 (majburiy xavfsizlik direktivasi) doirasida 21 kun ichida bajarilishi shart.

SMB protokoli Windows infratuzilmasining ajralmas qismi bo‘lsa-da, u hanuzgacha eng ko‘p nishonga olinadigan texnologiyalardan biridir. CVE-2025-33073 kabi zaifliklar nafaqat ma’lumotlarning sizib chiqishiga, balki tizimning to‘liq egallanishiga olib kelishi mumkin.

Kiberxavfsizlik endilikda “keyinroq” deb bo‘lmaydigan soha — har bir kechiktirilgan yangilanish potentsial hujum eshigini ochib beradi. Shuning uchun bugun yangilash — ertangi xurujlardan himoyalanishning eng oddiy, ammo eng samarali yo‘lidir.