Microsoft вновь уличили в «тихом устранении» серьезной уязвимо | SecAtor

Microsoft вновь уличили в «тихом устранении» серьезной уязвимости Windows LNK, которая задействовалась в атаках продвинутых акторов в качестве 0-day.

CVE-2025-9491 позволяет скрывать вредоносные команды в LNK-файлах, которые могут использоваться для развертывания вредоносного ПО на скомпрометированных устройствах.

Однако для реализации атак требуется взаимодействие с пользователем, поскольку жертва должна открыть вредоносные файлы Windows Shell Link (.lnk), которые злоумышленники обычно распространяют в ZIP или других архивах.

Уязвимость связана с тем, как Windows обрабатывает LNK, позволяя злоумышленникам использовать способ их отображения.

Для уклонения от обнаружения и выполнения кода на уязвимых устройствах без ведома пользователя, поле «target» в файлах LNK Windows заполняется пробелами, что позволяет скрыть вредоносные аргументы командной строки.

Таким образом в свойствах поля файла будут отображаться только первые 260 символов в виду добавленных пробелов, поэтому пользователи не смогут увидеть фактическую команду, выполняемую открытии LNK.

Исследователи Trend Micro в марте 2025 года обнаружили, что CVE-2025-9491 уже широко использовалась 11 APT и такими группировками, как Evil Corp, Bitter, APT37, APT43 (Kimsuky), Mustang Panda, SideWinder, RedHotel, Konni и др.

Аналогичную эксплуатацию наблюдали и в Arctic Wolf Labs.

Правда в Microsoft, вероятно, были не в курсе и в марте заявили, что «рассмотрят возможность устранения» этой 0-day, но она «не достигла уровня немедленного устранения».

В ноябре компания также не считала CVE-2025-9491 уязвимостью «в виду взаимодействия с пользователем и того факта, что система уже предупреждает пользователей о том, что этот формат ненадежен», несмотря на возможности обхода Mark of the Web.

Но что-то пошло не так и, как заметили в ACROS Security, Microsoft все же незаметно поработала над LNK в ноябрьских обновлениях, очевидно, пытаясь смягчить уязвимость CVE-2025-9491.

После установки обновлений прошлого месяца пользователи теперь видят все символы в поле при открытии свойств LNK-файлов, а не только первые 260.

Однако это в ACROS Security полагают, что принятые меры недостаточны, ведь вредоносные аргументы, добавленные в LNK-файлы, не будут удалены, и пользователь не получит предупреждения при открытии LNK-файлов со строкой Target, превышающей 260 символов.

Так что, как обычно, спецам ACROS Security пришлось проделать всю работу самим пока микромягкие в очередной раз тормозят с адекватным исправлением.

Компания выпустила неофициальный патч через свою платформу микропатчей 0Patch, который ограничивает длину всех строк ярлыков до 260 символов и предупреждает пользователей о потенциальной опасности открытия ярлыков с необычно длинными строками.

Неофициальное исправление для CVE-2025-9491 доступно для пользователей 0patch, использующих версии Windows, поддержка которых прекращена (Windows 7 - Windows 11 22H2 и Windows Server 2008 R2 – Windows Server 2022).