- 22,594
- 46
- 8 Ноя 2022
Никто уже не ждал исправления, но компания вдруг решила «порадовать» пользователей.
Microsoft незаметно закрыла давний изъян в Windows, который на протяжении нескольких лет использовался в реальных атаках. Обновление появилось в ноябрьском Patch Tuesday , хотя ранее компания не спешила устранять проблему. Информация об этом стала известна по данным 0patch, указавшей, что дефект активно применяли разные группы начиная с 2017 года.
Проблема получила обозначение CVE-2025-9491 и связана с тем, как Windows обрабатывает ярлыки LNK. Ошибка в пользовательском интерфейсе приводила к тому, что часть команды, зашитой в ярлык, оставалась скрытой при просмотре его свойств. Это позволяло запускать посторонний код под видом безобидного файла. Специалисты отмечали, что ярлыки формировались так, чтобы вводить в заблуждение, используя невидимые символы и маскируясь под документы.
Первые подробности всплыли весной 2025 года, когда исследователи сообщили, что этот механизм применяли одиннадцать государственно поддерживаемых групп из Китая, Ирана и КНДР в операциях по шпионажу, краже данных и финансовым атакам. Тогда дефект был известен также под кодом ZDI-CAN-25373. Microsoft в тот момент заявляла, что проблема не требует срочного вмешательства, напоминая о блокировке формата LNK во многих офисных приложениях и предупреждениях при попытке открытия таких файлов.
Позже HarfangLab сообщила , что уязвимость использовала группа XDSpy для распространения вредоносной программы XDigo в атаках на госструктуры Восточной Европы. Осенью 2025 года Arctic Wolf зафиксировала очередную волну злоупотреблений — на этот раз в интересах китайских сетевых группировок, нацеленных на дипломатические и государственные учреждения Европы и применявших вредонос PlugX. После этого Microsoft выпустила разъяснения, повторив, что не считает проблему критической из-за необходимости участия пользователя и наличия системных предупреждений.
По данным 0patch, суть проблемы выходила за рамки скрытия хвоста команды. Формат ярлыков позволяет передавать строки длиной до десятков тысяч символов, но окно свойств показывало лишь первые 260, обрезая остальное без уведомления. Это давало возможность спрятать значительную часть выполняемой команды. Стороннее исправление от 0patch решило вопрос иначе — оно добавляет предупреждение при попытке открыть ярлык с аргументами длиннее 260 символов.
Обновление Microsoft устранило недочёт, расширив отображение поля Target так, чтобы вся команда показывалась полностью, даже если её длина превышает прежний предел. Представитель компании, отвечая на запрос, не подтвердил напрямую выпуск обновления, но сослался на общие рекомендации по безопасности и заверил, что корпорация продолжает улучшать интерфейс и механизмы защиты.
Microsoft незаметно закрыла давний изъян в Windows, который на протяжении нескольких лет использовался в реальных атаках. Обновление появилось в ноябрьском Patch Tuesday , хотя ранее компания не спешила устранять проблему. Информация об этом стала известна по данным 0patch, указавшей, что дефект активно применяли разные группы начиная с 2017 года.
Проблема получила обозначение CVE-2025-9491 и связана с тем, как Windows обрабатывает ярлыки LNK. Ошибка в пользовательском интерфейсе приводила к тому, что часть команды, зашитой в ярлык, оставалась скрытой при просмотре его свойств. Это позволяло запускать посторонний код под видом безобидного файла. Специалисты отмечали, что ярлыки формировались так, чтобы вводить в заблуждение, используя невидимые символы и маскируясь под документы.
Первые подробности всплыли весной 2025 года, когда исследователи сообщили, что этот механизм применяли одиннадцать государственно поддерживаемых групп из Китая, Ирана и КНДР в операциях по шпионажу, краже данных и финансовым атакам. Тогда дефект был известен также под кодом ZDI-CAN-25373. Microsoft в тот момент заявляла, что проблема не требует срочного вмешательства, напоминая о блокировке формата LNK во многих офисных приложениях и предупреждениях при попытке открытия таких файлов.
Позже HarfangLab сообщила , что уязвимость использовала группа XDSpy для распространения вредоносной программы XDigo в атаках на госструктуры Восточной Европы. Осенью 2025 года Arctic Wolf зафиксировала очередную волну злоупотреблений — на этот раз в интересах китайских сетевых группировок, нацеленных на дипломатические и государственные учреждения Европы и применявших вредонос PlugX. После этого Microsoft выпустила разъяснения, повторив, что не считает проблему критической из-за необходимости участия пользователя и наличия системных предупреждений.
По данным 0patch, суть проблемы выходила за рамки скрытия хвоста команды. Формат ярлыков позволяет передавать строки длиной до десятков тысяч символов, но окно свойств показывало лишь первые 260, обрезая остальное без уведомления. Это давало возможность спрятать значительную часть выполняемой команды. Стороннее исправление от 0patch решило вопрос иначе — оно добавляет предупреждение при попытке открыть ярлык с аргументами длиннее 260 символов.
Обновление Microsoft устранило недочёт, расширив отображение поля Target так, чтобы вся команда показывалась полностью, даже если её длина превышает прежний предел. Представитель компании, отвечая на запрос, не подтвердил напрямую выпуск обновления, но сослался на общие рекомендации по безопасности и заверил, что корпорация продолжает улучшать интерфейс и механизмы защиты.
- Источник новости
- www.securitylab.ru
