【安全圈】微軟修復(fù)Windows LNK 0day漏洞

關(guān)鍵詞

漏洞

微軟近日悄然緩解了一個(gè)被多支國(guó)家級(jí)黑客組織和網(wǎng)絡(luò)犯罪團(tuán)伙在零日攻擊中積極利用的 Windows LNK 高危漏洞。該漏洞編號(hào)為CVE-2025-9491，允許攻擊者在 Windows 快捷方式（.lnk 文件）中隱藏惡意命令，用于部署惡意軟件并在受害設(shè)備上獲取持久控制權(quán)。

該漏洞的攻擊需要受害者主動(dòng)打開惡意的快捷方式文件。由于電子郵件系統(tǒng)普遍阻止 .lnk 附件，攻擊者通常會(huì)將快捷方式放入 ZIP 等壓縮包中進(jìn)行投遞。

漏洞利用方式

漏洞源于 Windows 對(duì) .lnk 文件的處理方式。攻擊者可在快捷方式的Target（目標(biāo)）字段中加入大量空白字符，使 Windows 在顯示屬性時(shí)只顯示前 260 個(gè)字符，從而隱藏真正的命令行參數(shù)。

?用戶打開快捷方式時(shí)，實(shí)際執(zhí)行的是被隱藏的惡意命令。

Trend Micro 的研究人員發(fā)現(xiàn)，這個(gè)漏洞從 2025 年 3 月起就被廣泛濫用，涉及11 個(gè)國(guó)家級(jí)組織和多支網(wǎng)絡(luò)犯罪團(tuán)伙，包括：

• Evil Corp

• Bitter

• 朝鮮 APT37、APT43（Kimsuky）

• 中國(guó) Mustang Panda（紅熊貓）

• SideWinder

• RedHotel

• Konni

• 其他多個(gè)高級(jí)威脅組織

各種惡意軟件加載器和木馬（如 Ursnif、Gh0st RAT、TrickBot 等）均通過此漏洞投遞。

Arctic Wolf Labs 在 2025 年 10 月也報(bào)告稱，中國(guó)國(guó)家支持的 Mustang Panda 利用此漏洞對(duì)歐洲多國(guó)外交人員發(fā)動(dòng)零日攻擊，投遞 PlugX 木馬。

微軟的“無(wú)聲”緩解措施

微軟今年 3 月曾表示將“考慮修復(fù)”此漏洞，但認(rèn)為其“不滿足立即修復(fù)標(biāo)準(zhǔn)”。

11 月的安全通告中，微軟甚至稱該問題“不構(gòu)成漏洞”，理由是利用需要用戶交互，且 Windows 已提供安全警告。然而，攻擊者可通過Mark of the Web（MotW）繞過漏洞，使用戶警告消失。

盡管態(tài)度曖昧，研究人員發(fā)現(xiàn)微軟在2025 年 6 月累計(jì)更新中已悄然部署緩解措施：

?Windows 現(xiàn)在會(huì)在快捷方式屬性中顯示 Target 字段的全部?jī)?nèi)容，而不再只顯示前 260 個(gè)字符。

但這并非真正修復(fù)：

• 惡意參數(shù)依舊保留

• 用戶打開含惡意命令的 LNK 時(shí)仍不會(huì)收到警告

• 攻擊仍然可能成功

因此，微軟的更新更像可視化改善，而非安全修復(fù)。

非官方補(bǔ)丁發(fā)布

在微軟未完全修復(fù)漏洞的情況下，ACROS Security 通過其0patch 平臺(tái)發(fā)布了非官方微補(bǔ)丁：

• 將快捷方式 Target 字符串長(zhǎng)度強(qiáng)制限制為 260 字符

• 打開目標(biāo)字符串過長(zhǎng)的 LNK 文件時(shí)向用戶發(fā)出安全警告

• 可完全阻斷 Trend Micro 識(shí)別的上千個(gè)正在利用該漏洞的惡意快捷方式

該補(bǔ)丁適用于：

• Windows 7 ~ Windows 11 22H2

• Windows Server 2008 R2 ~ Windows Server 2022
  （包括已停止支持的版本）

需要 PRO 或 Enterprise 賬戶。

風(fēng)險(xiǎn)分析

• 此漏洞已被有組織的國(guó)家級(jí)黑客武器化

• 現(xiàn)實(shí)攻擊頻繁，目標(biāo)包括政府、大學(xué)、大型企業(yè)、媒體和外交人員

• 微軟的修復(fù)措施有限但已緩解風(fēng)險(xiǎn)

• 非官方補(bǔ)丁能提供更嚴(yán)格的防護(hù)

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！