Влітку 2025 року стало відомо, що Microsoft непомітно змінила спосіб обробки ярликів Windows LNK, фактично закривши один із найпопулярніших в реальних атаках векторів — CVE-2025-9491. На той момент ним уже користувалися щонайменше 11 різних угруповань, серед яких північнокорейські APT та фінансово мотивовані кіберзлочинці на кшталт Evil Corp. Особливість ситуації — виробник тривалий час навіть не визнавав цю проблему повноцінною уразливістю.
Суть уразливості CVE-2025-9491 у ярликах Windows LNK
Ярлик LNK у Windows — це невеликий файл, що зберігає шлях до цілі (поле Target) та параметри запуску. Уразливість CVE-2025-9491 пов’язана з тим, як ОС відображає вміст цього поля в діалозі властивостей ярлика: інтерфейс показує лише перші 260 символів, а все, що виходить за межі цього ліміту, залишається невидимим для користувача.
Зловмисники перетворили цю особливість на прихований канал передачі шкідливих аргументів командного рядка. У поле Target спершу записувалися пробіли або «безпечна» команда, яка потрапляє у видиму частину, а далі — прихований фрагмент із небезпечними параметрами. Користувач, відкриваючи властивості, бачив коректний шлях і вважав ярлик надійним, однак подвійний клік запускав шкідливе ПЗ із заздалегідь підготовленими аргументами.
У багатьох кампаніях це поєднувалося з обходом механізму Mark of the Web (MotW), який позначає файли, завантажені з інтернету. Через експлуатацію інших вразливостей Windows ярлики виглядали як локальні, і система не показувала попереджень. У результаті користувач не мав візуальних сигналів ризику, а вікно властивостей не розкривало реального вмісту Target.
Хто використовував CVE-2025-9491: від державних APT до кібермафії
За оцінками Trend Micro, до моменту публічного розкриття CVE-2025-9491 експлуатувалася щонайменше 11 різними групами. Серед них фігурують північнокорейські APT37 та APT43 (Kimsuky), а також угруповання Mustang Panda, SideWinder, RedHotel, Konni, Bitter і відома кримінальна група Evil Corp. Це свідчить, що канал через LNK-ярлики був привабливим як для державних шпигунських операцій, так і для масових фінансових атак.
Зловмисники доставляли різні шкідливі навантаження: банківський троян Ursnif, інструменти віддаленого доступу на кшталт Gh0st RAT, TrickBot та інші популярні сімейства, які часто розповсюджуються в моделі malware-as-a-service (MaaS). Це означає, що доступ до техніки атак через LNK отримували і менш досвідчені злочинці, орендуючи інфраструктуру та інструменти у професійних операторів.
Mustang Panda: використання CVE-2025-9491 як 0-day проти європейських цілей
Аналітики Arctic Wolf та StrikeReady окремо виділяють китайське угруповання Mustang Panda, яке застосувало даний вектор як 0-day, тобто до його публічної фіксації. Метою були дипломати та державні установи країн ЄС, зокрема Угорщини та Бельгії. Через LNK-файли зловмисники розгортали в мережах жертв шкідливий RAT PlugX, який традиційно використовується для довготривалого прихованого шпигунства та контролю інфраструктури.
Позиція Microsoft і затримка з виправленням уразливості LNK
Згідно з даними Trend Micro, дослідники ще в березні 2025 року офіційно повідомили Microsoft про активну експлуатацію CVE-2025-9491. У відповідь компанія зазначила, що лише «розгляне можливість» внесення змін, оскільки описаний сценарій нібито не відповідає критеріям критичної уразливості, яка потребує негайного патча.
У листопаді позицію уточнили: у Microsoft заявили, що це не класична уразливість, адже для атаки потрібна взаємодія користувача, а система загалом попереджає про запуск потенційно небезпечних файлів. Однак дослідники резонно вказували, що у разі обходу MotW таких попереджень немає, а інтерфейс Windows дезорієнтує користувача, приховуючи частину критично важливих даних у полі Target.
Тихі зміни в Windows LNK і мікропатч 0patch
Засновник Acros Security і співзасновник платформи 0patch Мітя Колсек повідомив, що після оновлень Windows у червні 2025 року Microsoft без окремого бюлетеня змінила логіку роботи з LNK-файлами. Тепер у вікні властивостей ярлика відображається повна строка Target, а не лише перші 260 символів. Оновлення розповсюджувалося поступово та не позиціонувалося як офіційний патч безпеки.
Водночас, за словами Колсека, це не повноцінне усунення проблеми. Шкідливі аргументи, що йдуть після 260-го символу, як і раніше, можуть бути виконані, якщо користувач запустить ярлик, а система не видає окремих попереджень для аномально довгих значень Target. Захист підвищився лише для уважних користувачів, які свідомо перевіряють властивості файлів.
Як тимчасове рішення Acros Security випустила неофіційний мікропатч для 0patch, який та додатково сповіщає користувача при спробі запуску підозріло довгих ярликів. Патч доступний клієнтам 0patch з планами PRO та Enterprise і підтримує широкий спектр систем: від Windows 7 до Windows 11 22H2, а також серверні версії від Windows Server 2008 R2 до Windows Server 2022.
Практичні ризики та рекомендації щодо захисту від атак через LNK-файли
Сценарій із CVE-2025-9491 показує, що навіть, на перший погляд, «косметичні» недоліки інтерфейсу можуть перетворюватися на стабільні вектори атак. Основна ставка зловмисників робиться на соціальну інженерію: ярлик маскується під документ чи знайому програму, а шкідливі параметри акуратно сховані у невидимій частині поля Target.
Щоб зменшити ризики атак через ярлики Windows LNK, доцільно реалізувати декілька рівнів захисту:
- регулярно встановлювати всі актуальні оновлення безпеки для Windows, Microsoft Office та іншого критичного ПЗ;
- обмежити або фільтрувати доставку LNK-файлів електронною поштою, через месенджери та файлообмінники, використовуючи поштові шлюзи й sandbox‑аналіз;
- застосовувати Application Control, AppLocker або аналогічні рішення для блокування запуску ярликів із тимчасових каталогів, папок завантажень і мережевих шар;
- використовувати EDR‑рішення, здатні виявляти підозрілі ланцюжки процесів, запущених із ярликів (наприклад, незвичний запуск PowerShell, cmd або WScript);
- проводити регулярне навчання співробітників, наголошуючи на ризиках відкриття ярликів, отриманих у вкладеннях, архівах або з невідомих джерел;
- обмежувати права користувачів до мінімально необхідних, щоб ускладнити ескалацію привілеїв у разі успішної атаки.
Історія з Windows LNK та CVE-2025-9491 підкреслює важливість швидкої та прозорої реакції вендорів на повідомлення дослідників і показує, наскільки цінними є «дрібні» баги для зловмисників. Поки Microsoft остаточно не закриє всі варіанти експлуатації цієї аномалії, організаціям варто покладатися на багаторівневу оборону: оновлення, сувору політику роботи з файлами ззовні, контроль застосунків і постійний моніторинг подій безпеки. Це слушний момент, щоб переглянути власні процеси управління вразливостями, посилити захист робочих станцій та підвищити зрілість кібербезпеки загалом.
