HackerNews 编译,转载请注明出处:
据 ACROS Security 旗下 0patch 团队消息,微软在 2025 年 11 月的 Patch Tuesday更新中,悄然修复了一个自 2017 年起就被多个威胁行为者持续利用的安全漏洞。
该漏洞编号为 CVE-2025-9491,CVSS 评分为 7.8/7.0,被描述为 Windows 快捷方式文件用户界面误解析漏洞,可能导致远程代码执行。
美国国家标准与技术研究院国家漏洞数据库的描述显示:“该漏洞存在于.LNK 文件的处理机制中。精心构造的.LNK 文件数据可使文件中的危险内容在用户通过 Windows 提供的界面检查时隐藏不可见。攻击者可利用此漏洞在当前用户权限下执行代码。”
简单来说,攻击者通过在快捷方式文件中植入特殊 “空白字符”,使 Windows 系统中查看文件属性时,恶意执行命令被隐藏在用户视线之外。攻击者可将此类文件伪装成无害文档,诱使用户触发执行。
该漏洞细节首次于 2025 年 3 月曝光 —— 趋势科技零日漏洞计划披露,11 个国家支持的黑客组织,自 2017 年起就利用该漏洞开展数据窃取、间谍活动及经济利益驱动的攻击行动,该漏洞同时被追踪为 ZDI-CAN-25373。
当时微软向The Hacker News回应称,该漏洞未达到紧急修复标准,将考虑在未来版本中修复,并指出 Outlook、Word、Excel、PowerPoint 和 OneNote 等产品已拦截 LNK 文件格式,用户尝试打开此类文件时会收到 “不要打开未知来源文件” 的警告。
同年 3 月漏洞公开披露后,HarfangLab 的报告显示,名为 XDSpy 的网络间谍组织利用该漏洞分发一款名为 XDigo 的 Go 语言恶意软件,攻击目标直指东欧政府实体。
2025 年 10 月底,该漏洞第三次引发关注 。
这一进展促使微软发布关于 CVE-2025-9491 的正式指南,但仍重申不会修复该漏洞,强调 “由于需要用户交互,且系统已警告该格式不可信,因此不认为这是一个漏洞”。
0patch 团队指出,该漏洞的核心问题不仅在于隐藏目标字段中的恶意部分,更在于 LNK 文件 “允许目标参数为极长字符串(数万字符),但属性对话框仅显示前 260 个字符,其余部分被悄然截断”。
这意味着攻击者可构造包含超长命令的 LNK 文件,用户查看属性时仅能看到前 260 个字符(通常为伪装的无害内容),剩余恶意命令被隐藏。微软表示,LNK 文件结构理论上支持最长 32768(32k)字符的字符串。
微软此次发布的静默补丁通过修改属性对话框的显示机制,实现 “无论目标命令长度如何,均完整显示包含参数的全部内容”,从根源上解决了内容截断导致的恶意隐藏问题。但该修复效果依赖于目标字段超过 260 字符的快捷方式文件存在的场景。
0patch 针对同一漏洞推出的微补丁采用不同思路:当用户尝试打开目标字段超过 260 字符的 LNK 文件时,自动弹出警告提示。
0patch 团队表示:“尽管恶意快捷方式可被构造为不足 260 字符,但我们认为,阻断野外已发现的实际攻击,能为目标受害者提供重要防护。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
