Летом 2025 года стало известно, что Microsoft тихо изменила обработку LNK-ярлыков в Windows, фактически закрыв одну из самых активно используемых уязвимостей в экосистеме ОС — CVE-2025-9491. К этому моменту механизмом уже пользовались как минимум 11 хакерских группировок, включая северокорейские APT и известные киберпреступные организации вроде Evil Corp. Особенность ситуации в том, что производитель долгое время даже не признавал проблему полноценной уязвимостью.
Суть уязвимости CVE-2025-9491 в Windows LNK
Ярлык LNK в Windows — это небольшой файл, который хранит путь к цели (Target) и параметры запуска программы. Уязвимость CVE-2025-9491 связана с тем, как ОС отображает содержимое поля Target в свойствах ярлыка. Интерфейс Windows показывает только первые 260 символов этой строки, а всё, что длиннее, остается скрытым от пользователя.
Злоумышленники использовали этот дефект отображения как канал сокрытия вредоносных аргументов. В поле Target сначала добавлялись пробелы или безобидная команда, которые попадали в видимую часть строки, а затем — скрытая часть с опасными параметрами запуска. В результате пользователь, открывая свойства, видел «чистый» путь и доверял ярлыку, но при двойном клике запускалась малварь с заранее подготовленными аргументами командной строки.
Кто эксплуатировал уязвимость: от APT37 до Evil Corp
По данным аналитиков Trend Micro, уязвимость CVE-2025-9491 к моменту выявления использовалась как минимум 11 различными группировками. Среди них назывались северокорейские APT37 и APT43 (Kimsuky), а также Mustang Panda, SideWinder, RedHotel, Konni, Bitter и киберпреступная группировка Evil Corp. Этот перечень показывает, что проблема интересовала как госспонсируемые APT, так и финансово мотивированных злоумышленников.
В рамках кампаний применялись разнообразные пейлоады и загрузчики: Ursnif (банковский троян), Gh0st RAT (удалённый доступ), Trickbot и другие инструменты, часто распространявшиеся по модели malware-as-a-service (MaaS). То есть доступ к технике эксплуатации могли получать и менее квалифицированные группы, арендующие инфраструктуру у операторов «малвари как услуги».
Mustang Panda и использование CVE-2025-9491 как 0-day
Отдельно специалисты Arctic Wolf и StrikeReady отмечали китайскую группировку Mustang Panda, которая, по их данным, применила данный вектор как 0-day, то есть до его публичного раскрытия. Целями атак становились европейские дипломаты и государственные структуры в Венгрии, Бельгии и других странах ЕС. Через LNK-ярлыки злоумышленники внедряли в системы жертв RAT PlugX, традиционно используемый в шпионских операциях для длительного скрытого присутствия в сети.
Позиция Microsoft: «не совсем уязвимость» и задержка с исправлением
Согласно отчётам Trend Micro, ещё в марте 2025 года эксперты уведомили Microsoft об активной эксплуатации CVE-2025-9491. Однако разработчик ответил, что лишь «рассмотрит возможность» исправления, отметив, что описанный сценарий не попадает под критерии немедленного патча безопасности. В ноябре позиция была дополнительно уточнена: в Microsoft заявили, что проблему нельзя считать уязвимостью в строгом смысле, поскольку требуется взаимодействие с пользователем, а система якобы предупреждает о запуске потенциально ненадёжных файлов.
На практике эта аргументация выглядела уязвимой. Исследователи указывали, что многие злоумышленники дополняли атаку другими багами Windows, позволяющими обойти механизм Mark of the Web (метку происхождения загруженных из интернета файлов). В таких случаях пользователь вовсе не видел предупреждений безопасности, а вредоносные LNK-файлы выглядели как обычные локальные объекты.
Тихое изменение поведения LNK и микропатч 0patch
Основатель Acros Security и сооснователь платформы 0patch Митя Колсек сообщил, что после июньских обновлений 2025 года Microsoft незаметно скорректировала логику работы с LNK-файлами. Теперь при открытии свойств ярлыка пользователю показывается вся строка Target целиком, а не только первые 260 символов. Судя по сообщениям исследователей, изменение распространялось постепенно и не сопровождалось отдельным официальным бюллетенем безопасности.
Однако, как подчеркнул Колсек, это не полноценный фикс. Вредоносные аргументы по-прежнему присутствуют в ярлыке и могут быть выполнены при запуске, а система не выдаёт отдельного предупреждения при наличии аномально длинной Target-строки. То есть риск эксплуатации снижен, но не устранён полностью, особенно в сценариях социальной инженерии, где жертва не проверяет свойства файла.
В ответ Acros Security выпустила собственный микропатч через 0patch. Это неофициальное исправление жёстко ограничивает длину поля Target в LNK-файлах 260 символами и дополнительно уведомляет пользователя при попытке запуска ярлыка с подозрительно длинной строкой. Решение позиционируется как временная мера до появления полноценного официального патча. Патч доступен клиентам 0patch с тарифами PRO и Enterprise, поддерживаются версии Windows от Windows 7 до Windows 11 22H2, а также серверные релизы от Windows Server 2008 R2 до Windows Server 2022.
Практические риски и рекомендации по защите от атак через LNK
Эксплуатация CVE-2025-9491 наглядно показывает, что даже «косметические» на первый взгляд дефекты интерфейса могут превращаться в надёжный вектор атак. Основная ставка злоумышленников здесь делается на социальную инженерию: пользователю демонстрируется кажущийся безопасным ярлык, нередко с иконкой документа или приложения, а реальное содержимое скрыто за невидимой частью Target.
Для снижения рисков организациям и частным пользователям имеет смысл:
- установить все актуальные обновления безопасности Windows и офисного ПО;
- ограничить или фильтровать доставку LNK-файлов по электронной почте и через мессенджеры;
- использовать Application Control / AppLocker или аналогичные механизмы для блокировки запуска ярлыков из временных каталогов, папок загрузок и сетевых шар;
- применять EDR‑решения, отслеживающие подозрительные цепочки запуска процессов из ярлыков;
- проводить обучение сотрудников, акцентируя внимание на рисках открытия ярлыков, полученных из неизвестных источников или внутри архивов.
История с CVE-2025-9491 подчёркивает важность быстрого реагирования вендоров на сообщения исследователей и прозрачности в коммуникации с сообществом. Пока Microsoft окончательно не закроет все варианты эксплуатации этой аномалии в LNK-ярлыках, критически важным остаётся многоуровневый подход к защите: своевременное обновление систем, жёсткая политика работы с файлами из внешних источников и постоянный мониторинг активностей в сети. Организациям стоит рассматривать подобные инциденты как сигнал к пересмотру своих процессов управления уязвимостями и укреплению общей киберустойчивости.
