Windows tizimidagi NTLM zaifligi faol ekspluatatsiya qilinmoqda
🔓 Kiberjinoyatchilar Windows tizimlarida NTLM (New Technology LAN Manager) autentifikatsiyasi bilan bog‘liq jiddiy zaiflikdan foydalanib, tizimlarni buzib kirishga erishmoqda. Bu zaiflik CVE-2025-24054 sifatida qayd etilgan bo‘lib, NTLM xeshlarini soxtalashtirish orqali oshkor etish imkonini beradi.
Mazkur zaiflik foydalanuvchilarning autentifikatsiya ma’lumotlarini tashqi manbaga oshkor qilishga olib keluvchi NTLM xavfsizlik protokolidagi zaiflikka asoslangan. Dastlab 2025-yil 11-mart kuni Microsoft tomonidan yamoqlangan bu muammo oradan bir necha kun o‘tib, yovvoyi holatda ekspluatatsiya qilina boshlandi.
NTLM — bu Microsoft tomonidan ishlab chiqilgan autentifikatsiya protokollar to‘plami bo‘lib, foydalanuvchi shaxsini aniqlash va tarmoqli aloqa xavfsizligini ta’minlash uchun mo‘ljallangan. NTLMv2 xavfsizlikni bir necha darajada yaxshilagan bo‘lsa-da, tajovuzkorlar hali ham bu protokol orqali hashlarni oshkor qilish va tizimda oldinga siljish uchun vosita sifatida foydalanishga muvaffaq bo‘lmoqda.
CVE-2025-24054: Zaiflik mohiyati
CVE-2025-24054 zaifligi, Windows Explorer dasturining ZIP arxivlarni ochish jarayonida foydalanuvchi aralashuvisiz .library-ms kabi zararli fayllar orqali SMB (Server Message Block) protokoli orqali autentifikatsiya so‘rovlarini yuborishiga sabab bo‘ladi. Ushbu so‘rovlar orqali foydalanuvchining NTLMv2-SSP xeshlari tajovuzkor serverga oshkor bo‘ladi.
Foydalanuvchining faqat zararli ZIP faylni ochishi yoki hatto sichqoncha bilan ustiga borganining o‘zi ham hujumni ishga tushirishi mumkin.
Faol ekspluatatsiya holatlari
🕵️♂️ Check Point Research kompaniyasi 2025-yil 20–21-mart kunlari ushbu zaiflikni ishlatgan bir nechta kiberhujum kampaniyalarini aniqladi. Ular Polsha va Ruminiyadagi hukumat va xususiy sektorga yo‘naltirilgan bo‘lib, elektron pochta orqali yuborilgan ZIP arxivlar orqali amalga oshirilgan.
Bu arxivlar tarkibida .library-ms, .url, .website va .lnk kengaytmali fayllar mavjud bo‘lgan. Ulardan biri ishga tushirilgan zahoti Windows tizimi SMB orqali tajovuzkorning serveriga bog‘lanib, NTLM hashlarini yuborgan. Tajovuzkor esa bu hashlar orqali tizimga kirishga yoki tarmoqda yashin tezligida harakatlanishga erishgan.
📤 Xeshlar turli mamlakatlardagi serverlarga — xususan Rossiya, Bolgariya, Niderlandiya, Avstraliya va Turkiyadagi serverlarga yuborilgan. Bu holatlar orqasida davlat bilan bog‘liq yuqori darajadagi razvedka guruhlari turgan bo‘lishi mumkin.
Microsoft javobi va tavsiyalar
Microsoft ushbu zaiflikni bartaraf etuvchi xavfsizlik yamoqlarini o‘z vaqtida chiqargan bo‘lsa-da, ekspluatatsiya qilish holatlari juda tez boshlangan. Shu sababli tashkilotlarga quyidagi choralarni ko‘rish qat’iyan tavsiya etiladi:
✅ Tizimni darhol yangilang – barcha qurilmalarga 2025-yil 11-martdagi xavfsizlik yangilanishini o‘rnating.
✅ Tarmoqlarni segmentlang – SMB tarmoq trafigini segmentlar orasida cheklash orqali hujum tarqalishini oldini oling.
✅ SMB xavfsizlik sozlamalarini kuchaytiring – SMB imzolash va relay hujumlariga qarshi himoyalarni yoqing.
✅ Foydalanuvchilarni ogohlantiring – noma’lum yoki ishonchsiz ZIP arxivlarni ochmaslik bo‘yicha doimiy ogohlik yarating.
✅ Doimiy audit va monitoring – tarmoqdagi har qanday g‘ayrioddiy faoliyatni aniqlash uchun muntazam tekshiruvlar olib boring.
Xulosa: CVE-2025-24054 zaifligi — oddiy fayl operatsiyasi orqali maxfiy autentifikatsiya ma’lumotlarining sizib chiqishiga sabab bo‘ladigan murakkab hujumlardir. Faqat yamoq bilan emas, balki ogohlik, ta’lim va kuchli xavfsizlik infratuzilmasi bilan bunday xatarlarning oldi olinadi.
Bugunoq yangilang. O‘zingizni va tarmog‘ingizni himoya qiling!
