Исследователи из Trend Micro's Zero Day Initiative (ZDI) предупредили о серьёзной уязвимости в операционной системе Windows, которая уже восемь лет используется злоумышленниками для кибератак. Эта брешь, известная как ZDI-CAN-25373 , не имеет официального номера CVE, но её последствия оказались масштабными. Согласно данным экспертов, эту уязвимость активно эксплуатировали спонсируемые государством хакеры из Северной Кореи, Ирана, России и Китая , а также киберпреступные группировки.
Как работает ZDI-CAN-25373?
Уязвимость позволяет злоумышленникам скрытно выполнять вредоносные команды на компьютерах жертв через специально созданные файлы ярлыков Windows (.lnk ). В поле Target файла .lnk злоумышленники внедряют аргументы командной строки, которые активируются при открытии ярлыка. Эти команды могут запускать вредоносные программы или загружать дополнительные компоненты вредоносного ПО.
Проблема заключается в том, что поле «Цель» может быть заполнено пробелами или другими символами, что делает его невидимым для пользователя. Таким образом, даже опытные пользователи не смогут обнаружить подозрительную активность через интерфейс Windows.
«Используя эту уязвимость, злоумышленник может скрыть критическую информацию, такую как выполняемые команды, которая помогла бы пользователю оценить уровень риска», — отметили исследователи ZDI.
Почему это опасно?
Файлы .lnk часто используются злоумышленниками для маскировки вредоносных программ. Например, они меняют значок файла, чтобы он выглядел как документ PDF, изображение или другой безобидный файл. Более того, Windows автоматически скрывает расширение .lnk , что позволяет злоумышленникам добавлять ложные расширения, такие как .pdf.lnk , и обманывать пользователей.
«Злоумышленники часто комбинируют поддельные расширения с соответствующими значками, чтобы максимально замаскировать свои намерения», — добавили эксперты.
Цели атак
С 2017 года уязвимость ZDI-CAN-25373 использовалась в различных кибератаках. Основными целями стали государственные учреждения, частные компании, аналитические центры, НПО, телекоммуникационные компании, финансовые организации (особенно связанные с криптовалютой), а также предприятия энергетического и оборонного секторов.
Жертвы были зафиксированы в США, Канаде, России, Южной Корее, Вьетнаме, Бразилии и других странах. Исследователи проанализировали около тысячи подозрительных файлов .lnk, отправленных пользователями, чтобы понять масштаб проблемы.
Что говорит Microsoft?
Исследователи ZDI сообщили о проблеме в Microsoft и предоставили экспериментальный эксплойт для тестирования. Однако компания заявила, что уязвимость не соответствует критериям для немедленного исправления. Тем не менее, Microsoft может устранить её в одном из будущих обновлений функций.
Рекомендации по защите
Эксперты настоятельно рекомендуют организациям, работающим в целевых секторах, принять меры предосторожности. Вот несколько советов:
1. Регулярно сканировать системы на наличие подозрительных файлов .lnk.
2. Обучать сотрудников распознавать потенциально опасные файлы.
3. Использовать современные решения для защиты от вредоносных программ.
4. Проверять системы на возможные компрометации , особенно если есть подозрения на использование ZDI-CAN-25373.
«Организации должны сохранять бдительность и активно следить за попытками кибератак, использующих файлы .lnk как вектор вторжения», — подчеркнули исследователи.
Дополнительная информация - https://krakoziaber.blogspot.com/2025/03/zdi-can-25373.html
"Dependency-Check: простой способ сделать ваше ПО безопаснее и надёжнее"