A Microsoft csendben elzárta a Windows parancsikonfájlok egy kritikus hibáját, amelyet régóta kémkedési és cyberbűnözői hálózatok használtak ki. A CVE-2025-9491 azonosítójú sebezhetőség lehetővé teszi, hogy a rosszindulatú .lnk parancsikonfájlok elrejtsenek káros parancssori argumentumokat a felhasználók elől, így rejtett kódvégrehajtást indítva el, amikor az áldozat megnyitja a parancsikont. A Trend Micro kutatói már márciusban arról számoltak be, hogy közel ezer, 2017-ig visszanyúló rosszindulatú .lnk minta használta ki ezt a gyengeséget világszerte, mind állami támogatású, mind cyberbűnözői kampányokban. A trükk meglepően egyszerű: a rosszindulatú parancsokat üres helyekkel (vagy más nem nyomtatható karakterekkel) töltik fel, így amikor a parancsikon tulajdonságait megtekintik Windowsban, a “Cél” mező ártalmatlannak tűnik – üres vagy ártalmas bináris fájlokban végződik –, ami gyakorlatilag elrejti a kártékony hasznos terheket.
A Microsoft kezdetben elutasította a Trend Micro Zero Day Initiative (ZDI) javítási kísérleteit, azzal érvelve, hogy a hiba “alacsony súlyosságú” és nem éri el a javítási küszöböt. A megoldás azonban végül mégis elkerült: a 0patch javításfigyelő szerint a Microsoft “csendes enyhítést” vezetett be a 2025. novemberi Patch Tuesday frissítéscsomagjában. A frissítés után a Windows “Tulajdonságok” párbeszédablaka már a teljes parancsot mutatja, megszüntetve a támadók által használt álcázási technikát. A javítás időzítése nem véletlen: októberben az Arctic Wolf Labs kutatói felfedték, hogy egy Kínához köthető kémkedési csoport, az UNC6384 vagy “Mustang Panda” kihasználta a CVE-2025-9491 sebezhetőséget egy célzott kampányban magyar, belga, olasz, szerb és holland európai diplomáciai szervek ellen.
A támadási lánc NATO-s vagy Európai Bizottsági workshopokra szóló meghívónak álcázott célzott phishing e-mailekkel indult. Amikor a címzett megnyitotta a látszólag ártalmatlan parancsikont, a rejtett parancsok elindítottak egy álcázott PowerShell szkriptet, amely többlépcsős hasznos terhet helyezett el, végül a PlugX távoli hozzáférésű trójant telepítette legitím, aláírt binárisok DLL oldalbetöltésével. Ez tartós és rejtett hozzáférést biztosított a támadóknak a feltört rendszerekhez. A kampány rávilágít arra, hogy mennyire értékes az LNK formátum a támadók számára: rövid, látszólag ártalmatlan fájlok, amelyek átjutnak számos e-mail melléklet-szűrőn, de a social engineering révén továbbra is képesek teljes távoli kódvégrehajtásra. A Microsoft enyhítése ellenére a védekezők számára a kockázat nem szűnt meg: az évekre visszanyúló kihasználás története arra utal, hogy sok rendszer továbbra is sérült lehet, és amíg az összes érintett Windows gép meg nem kapja a frissítést, a taktika továbbra is veszélyes marad a vadonban.
Ez a cikk a Neural News AI (V1) verziójával készült.
Forrás: https://www.theregister.com/2025/12/04/microsoft_lnk_bug_fix/.
A képet Tadas Sar készítette, mely az Unsplash-on található.
