Microsoft тихо внедрила частичную защиту от опасной уязвимости в ярлыках Windows (CVE-2025-9491), которую киберпреступники используют уже не первый год для атак через так называемые zero-day-лазейки. Этот баг позволяет спрятать вредоносный код прямо в обычных файлах-ярлыках Windows.
Проблема в том, как система обрабатывает ярлыки. Если вы когда-либо открывали свойства ярлыка, то наверняка видели поле «Объект» — именно здесь хранится команда на запуск. Долгое время Windows показывала в этом поле только первые 260 символов.
Хакеры нашли способ создавать ярлыки с командами в несколько тысяч символов, добавляя в начало огромное количество пробелов. Такой трюк делает вредоносный код невидимым: он скрывается за пределами того, что вижет пользователь.
В результате кажется, что поле полностью пустое или заполнено пробелами, и человек даже не подозревает, что на самом деле при запуске такого файла откроется вредоносная программа — например, RAT, загрузчик или другой вредоноc.
И это не какой-то мифический сценарий. Специалисты Trend Micro ещё в марте зафиксировали массовое использование этой уязвимости, а первые атаки были замечены ещё в 2017 году.
Эксперты обнаружили в сети почти тысячу вредоносных ярлыков. Крупнейшие группировки — такие как Evil Corp, APT37, Bitter и поддерживаемая Китаем Mustang Panda — активно использовали эту дыру для распространения разных вирусов: Ursnif, Gh0st RAT, Trickbot. Например, аналитики Arctic Wolf Labs выяснили, что Mustang Panda при помощи багованых ярлыков атаковала европейских дипломатов из Венгрии и Бельгии, заражая их системы вирусом PlugX RAT.
Обычно схема атаки проста: жертва сама открывает заражённый ярлык. Чаще всего такие файлы подсовывают в zip-архивах или других упаковках, ведь современные почтовые сервисы уже давно блокируют одиночные .lnk-файлы ради безопасности.
Глава ACROS Security и сооснователь 0patch Митя Колшек заметил: Microsoft молча изменила поведение окна свойств — теперь поле «Объект» показывает всю команду полностью, вне зависимости от длины.
Но эта поправка лишь позволяет увидеть скрытую команду — она никак не препятствует запуску вредоносных инструкций, если они уже встроены в ярлык. К тому же система не предупреждает пользователя, даже если команда подозрительно длинная.
Если злоумышленник спрятал код на пару тысяч символов дальше по строке, только самые дотошные будут прокручивать крошечное окно до конца, чтобы заметить подвох. Для большинства же такая «латка» пользы почти не приносит — слишком уж это хитрая фишка социальной инженерии.
Поэтому ACROS Security выпустила свою неофициальную заплатку через платформу 0patch. Она идёт дальше и жёстко режет команду в ярлыке до 260 символов. Если размер превышен, патч обрезает лишнее и сразу предупреждает пользователя о потенциальной угрозе.
В итоге Microsoft заслуживает похвалы хотя бы за то, что больше не маскирует содержимое ярлыка. Но сам факт появления стороннего исправления доказывает — для полной безопасности пользователей реального решения пока нет, и финальный ответ на проблему ещё только предстоит появиться.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru