A Microsoft csendben elzárta a Windows parancsikonfájlok egy kritikus hibáját, amelyet régóta kémkedés és kiberbűnözés céljából használtak. A CVE-2025-9491 azonosítójú sebezhetőség lehetővé tette, hogy a rosszindulatú .lnk fájlok elrejtsék a felhasználók elől a káros parancssori argumentumokat, így rejtett kódvégrehajtást indítva el, amikor az áldozat megnyitotta a parancsikont. A Trend Micro kutatói már márciusban közel ezer, 2017-ig visszanyúló rosszindulatú .lnk mintát azonosítottak, amelyek ezt a gyengeséget használták ki világszerte, állami támogatású és kiberbűnözői kampányokban vegyesen. A trükk meglepően egyszerű volt: a rosszindulatú parancsokat üres helyekkel (vagy más nem nyomtatható karakterekkel) töltötték fel, így amikor a parancsikon tulajdonságait megtekintették Windowsban, a “Cél” mező ártalmatlannak tűnt – üres vagy ártalmas bináris fájlokban végződött –, ami gyakorlatilag elrejtette a rosszindulatú hasznos terheket.
A Microsoft kezdetben elutasította a Trend Micro Zero Day Initiative (ZDI) javítási kísérleteit, azzal érvelve, hogy a hiba “alacsony súlyosságú” és nem éri el a szervizelés küszöbét. A csendesség időszaka azonban most lezárult. A 0patch javításfigyelő szerint a Microsoft egy “csendes enyhítést” vezetett be a 2025. novemberi Patch Tuesday frissítéscsomagjában. A frissítés után a Windows “Tulajdonságok” párbeszédablaka már megjeleníti a teljes parancsot, megszüntetve a támadók által használt álcázási trükköt. A javítás időzítése nem véletlen: októberben az Arctic Wolf Labs kutatói felfedték, hogy egy Kínához köthető kémkedő csoport, az UNC6384 vagy “Mustang Panda” kihasználta a CVE-2025-9491 azonosítójú sebezhetőséget egy célzott kampányban magyarországi, belga, olasz, szerb és holland európai diplomáciai szervek ellen.
A támadási lánc célzott phishing e-mailekkel kezdődött, amelyek NATO vagy Európai Bizottság műhelymunkák meghívóiként tűntek fel. Amikor a címzett megnyitotta a látszólag ártalmatlan parancsikont, a rejtett parancsok elindítottak egy álcázott PowerShell szkriptet, amely többlépcsős hasznos terhet helyezett el, végül a PlugX távoli hozzáférésű trójant telepítette legitim, aláírt bináris fájlok DLL oldalbetöltésével. Ez tartós és rejtett hozzáférést biztosított a támadóknak a feltört rendszerekhez. A kampány rávilágít arra, mennyire értékesé vált az LNK formátum a támadók számára: rövid, látszólag ártalmatlan fájlok, amelyek átjutnak számos e-mail melléklet-szűrőn, de a szociális mérnökség révén továbbra is képesek teljes távoli kódvédrehajtásra. A védelmi szakemberek számára a Microsoft enyhítése nem jelenti azt, hogy a kockázat megszűnt. Az évekre visszanyúló kiterjedt kihasználási előzmények arra utalnak, hogy számos rendszer továbbra is sérült lehet, és amíg az összes érintett Windows gép meg nem kapja a frissítést, a taktika továbbra is veszélyes marad a vadonban.
Ez a cikk a Neural News AI (V1) verziójával készült.
Forrás: https://www.theregister.com/2025/12/04/microsoft_lnk_bug_fix/.
A képet Tadas Sar készítette, mely az Unsplash-on található.
