Spoločnosť Microsoft potichu opravila zraniteľnosť skratky systému Windows, ktorú aktéri hrozieb zneužívali od roku 2017 na skrytie škodlivých príkazov pred používateľmi, ktorí kontrolujú vlastnosti súborov.
Chyba, sledovaná ako CVE-2025-9491, bola vyriešená v aktualizáciách Microsoft Patch Tuesday z novembra 2025, ale nebola uvedená medzi 63 oficiálne opravenými chybami zabezpečenia.
Táto zraniteľnosť sa prvýkrát dostala do pozornosti verejnosti 18. marca 2025, keď iniciatíva Zero Day Initiative spoločnosti Trend Micro zverejnila Advisory ZDI-25-148 spolu s podrobným výskumom Petra Girnusa a Aliakbara Zahraviho.
Výskumníci identifikovali takmer 1 000 škodlivých súborov skratiek Windows (.lnk) využívajúcich túto chybu v rôznych útočných kampaniach od roku 2017.
Táto chyba zabezpečenia umožnila útočníkom vytvoriť súbory odkazov, ktoré spôsobili, že dialógové okno Vlastnosti zobrazilo iba prvých 260 znakov poľa Cieľ, čím sa účinne skryli škodlivé príkazy, ktoré prekročili tento limit.
Spoločnosť Microsoft pôvodne odmietla opraviť problém po tom, čo bola upozornená v septembri 2024, pričom uviedla, že nedosiahla svoj prah servisu.
Spoločnosť tvrdila, že existujúce bezpečnostné varovania pre súbory stiahnuté z internetu poskytujú primeranú ochranu prostredníctvom funkcie Mark of the Web.
Prehodnotenie aktívnych exploatačných síl
Táto otázka nadobudla opätovnú naliehavosť koncom októbra 2025, keď výskumníci spoločnosti Arctic Wolf zverejnili zistenia, ktoré ukazujú, že čínsky aktér hrozieb UNC6384 aktívne využíva svoju zraniteľnosť na zacielenie na maďarské a belgické diplomatické subjekty počas septembra a októbra 2025.
Útočníci nasadili malvér PlugX prostredníctvom súborov LNK so zbraňami, ktoré využili chybu skresľovania používateľského rozhrania na ukrytie škodlivých príkazov PowerShell.
Napriek potvrdenému zneužitiu vo voľnej prírode spoločnosť Microsoft zdvojnásobila svoj počet s Advisory ADV25258226 a vyhlásila, že „v dôsledku interakcie používateľa a skutočnosti, že systém už používateľov varuje, že tento formát je nedôveryhodný, spoločnosť Microsoft to nepovažuje za zraniteľnosť“.
Spoločnosť zdôraznila, že používatelia dostávajú varovania pri otváraní súborov z internetu, hoci túto ochranu možno obísť známymi zraniteľnosťami.
Aktualizácie zabezpečenia od spoločnosti Microsoft z novembra 2025 potichu upravili spôsob, akým systém Windows zobrazuje vlastnosti súboru LNK. Dialógové okno Vlastnosti teraz zobrazuje celý príkaz Cieľ bez ohľadu na dĺžku, aj keď informácie zostávajú v jednoriadkovom poli, ktoré si vyžaduje výber textu a posúvanie, aby sa zobrazilo úplne. Táto zmena bola implementovaná bez potvrdenia v oficiálnej opravnej dokumentácii.
Bezpečnostná firma ACROS Security vyvinula alternatívnu opravu, ktorá má agresívnejší prístup. Ich mikrozáplata skráti ľubovoľné cieľové pole súboru LNK presahujúce 260 znakov pri otvorení cez Windows Explorer a upozorní používateľov na podozrivú aktivitu.
Toto riešenie je navrhnuté tak, aby blokovalo viac ako 1 000 škodlivých skratiek identifikovaných spoločnosťou Trend Micro a zároveň zachovalo funkčnosť pre legitímne skratky vytvorené prostredníctvom štandardných rozhraní Windows.
Zraniteľnosť demonštruje pretrvávajúcu výzvu bezpečnostných problémov založených na používateľskom rozhraní, kde sofistikovaní útočníci vyzbrojujú dôveru používateľov v používateľské rozhranie operačného systému.
Výskumníci v oblasti bezpečnosti odporúčajú, aby organizácie implementovali ďalšie možnosti detekcie koncových bodov a školenia o zabezpečení, aby rozpoznali súbory podozrivých skratiek, najmä tie, ktoré boli prijaté e-mailom alebo stiahnuté z nedôveryhodných zdrojov.
Sledujte nás na Google News, LinkedIn a X a získajte denné aktualizácie kybernetickej bezpečnosti. Kontaktujte nás a predstavte svoje príbehy.
