Windows SMB’dagi jiddiy kamchilik Active Directory’ni to‘liq egallash imkonini bermoqda

2026-yil boshida kiberxavfsizlik mutaxassislari tomonidan aniqlangan o‘ta xavfli zaiflik Windows infratuzilmasidan foydalanadigan tashkilotlar uchun jiddiy tahdidga aylandi. Mazkur zaiflik Windows’ning SMB (Server Message Block) mijoz qismidagi NTLM autentifikatsiya mexanizmi bilan bog‘liq bo‘lib, hujumchilarga Active Directory (AD) muhitini to‘liq nazorat ostiga olish imkonini beradi.

Ushbu muammo CVE-2025-33073 identifikatori ostida qayd etilgan bo‘lib, u noto‘g‘ri kirish nazorati (Improper Access Control) turkumiga mansub. Zaiflik NTLM refleksiya (reflection) hujumlari orqali imtiyozlarni oshirishga olib keladi va amalda butun domen infratuzilmasining egallanishi bilan yakunlanishi mumkin.

Muammoning ildizi: NTLM autentifikatsiyasidagi kamchilik

Zaiflik Windows NTLM lokal autentifikatsiya mexanizmidagi fundamental xatoga borib taqaladi. SMB mijoz NTLM_CHALLENGE xabarini qabul qilganda va u “lokal autentifikatsiya” sifatida belgilangan bo‘lsa, tizim maxsus kontekst obyektini yaratadi va uning identifikatorini Reserved maydoniga joylaydi.

Mazkur mexanizm hujumchilar tomonidan turli majburiy autentifikatsiya (coercion) texnikalari bilan birgalikda suiiste’mol qilinadi. Xususan:

  • PetitPotam
  • DFSCoerce
  • PrinterBug

kabi usullar yordamida lsass.exe jarayoni (SYSTEM huquqlarida ishlaydi) hujumchiga tegishli serverga majburan autentifikatsiya qilinadi. Natijada hujumchi SYSTEM tokenini o‘zlashtirib, keyingi barcha amallarni eng yuqori imtiyozlar bilan bajarish imkoniga ega bo‘ladi.

Amaliy xavf: real infratuzilmalarda keng tarqalgan

Eng xavotirli jihati shundaki, Microsoft tomonidan 2025-yil iyun oyida xavfsizlik yangilanishlari chiqarilganiga qaramay, oradan yetti oy o‘tgach ham ushbu patchlar ko‘plab korxona va tashkilotlarda joriy etilmagan.

Penetratsion testlar shuni ko‘rsatmoqdaki, zaif tizimlar deyarli har bir tekshiruvda uchramoqda:

  • Domain Controller’lar
  • Tier-0 serverlar
  • Oddiy ishchi stansiyalar

Bu holat hujumchilar uchun juda qulay sharoit yaratmoqda.

Hujum uchun talablar: past darajadagi ruxsatlar yetarli

Zaiflikni ekspluatatsiya qilish uchun hujumchiga yuqori imtiyozlar talab etilmaydi. Odatda quyidagilardan biri kifoya:

  • Active Directory DNS’da zararli DNS yozuvini ro‘yxatdan o‘tkazish
    (standart sozlamalarda Authenticated Users guruhiga bunga ruxsat berilgan)
  • Lokal tarmoqda DNS poisoning hujumini amalga oshirish

Aksariyat tashkilotlar AD DNS zonalarida oddiy foydalanuvchilar uchun cheklovlar o‘rnatmagani sababli, bu zaiflikning ekspluatatsiyasi yanada osonlashadi.

An’anaviy himoya choralarining samarasizligi

Ko‘plab mutaxassislar SMB relay hujumlariga qarshi SMB signing yetarli himoya deb hisoblashadi. Ammo so‘nggi tadqiqotlar bu qarashni inkor etdi.

DepthSecurity tadqiqotchilari quyidagilarni isbotladi:

  • SMB’dan LDAPS’ga cross-protocol relay hujumlari muvaffaqiyatli amalga oshirilgan
  • Signing va channel binding yoqilgan bo‘lsa ham hujum o‘tgan
  • NTLMSSP bayroqlarini (Always Sign, Seal, Sign) olib tashlab, Message Integrity Code’ni saqlab qolish orqali bir nechta xavfsizlik mexanizmlarini chetlab o‘tish mumkin

Bu esa hujumchilarga AD obyektlarini to‘g‘ridan-to‘g‘ri SYSTEM huquqlari bilan boshqarish imkonini beradi.

Xavf doirasining kengayishi

Mazkur zaiflik faqat SMB bilan cheklanib qolmaydi. Tadqiqotlar quyidagi xizmatlarga ham muvaffaqiyatli hujumlar bo‘lganini ko‘rsatdi:

  • Active Directory Certificate Services (ADCS)
  • MSSQL
  • WinRM
  • RPC xizmatlari

Ayniqsa, SMB → LDAPS refleksiya hujumlari orqali:

  • Guruh a’zoliklarini o‘zgartirish
  • DCSync orqali credential’larni o‘g‘irlash
  • Active Directory obyektlarini manipulyatsiya qilish

kabi juda xavfli amallar bajarilishi mumkin.

Himoya va tavsiyalar

Mutaxassislar ushbu zaiflikka qarshi quyidagi choralarni zudlik bilan amalga oshirishni tavsiya etadi:

  1. 2025-yil iyun oyidagi Windows xavfsizlik yangilanishlarini darhol o‘rnatish
  2. SMB bilan cheklanmasdan, barcha protokollar bo‘yicha:
    • Signing
    • Channel Binding
      majburiy holga keltirish
  3. Active Directory DNS zonalarida:
    • Authenticated Users uchun DNS yozuvlarini yaratish huquqini bekor qilish
  4. NTLM autentifikatsiyasidan foydalanishni audit qilish va imkon qadar Kerberos’ga o‘tish
  5. NTLM relay va coercion hujumlariga qarshi doimiy monitoring joriy etish

Windows SMB mijozidagi ushbu zaiflik oddiy texnik kamchilik emas, balki Active Directory asosida ishlovchi butun infratuzilma uchun strategik xavf hisoblanadi. Patchlarning o‘z vaqtida o‘rnatilmasligi, noto‘g‘ri sozlamalar va eskirgan autentifikatsiya mexanizmlariga tayanish tashkilotlarni jiddiy xatar ostida qoldirmoqda.

Bugungi kunda bu zaiflikdan himoyalanish — faqat texnik ehtiyot chorasi emas, balki axborot xavfsizligi siyosatining ajralmas qismi bo‘lishi shart.