Эксперт по кибербезопасности выявил четыре новые техники злоупотребления ярлыками Windows (.LNK). Исследователь Вьетце Бойкема продемонстрировал, как подделать назначение ярлыка, скрыть аргументы командной строки и запустить вредоносные программы под видом безобидных. — csoonline.com
Способы злоупотребления ярлыками Windows (.LNK) продолжают множиться: специалист по кибербезопасности задокументировал четыре новые техники, позволяющие обманом заставить пользователей Windows выполнять вредоносные действия через безобидные на вид ярлыки.
Вьетце Бойкема продемонстрировал, как подделать видимое назначение LNK-файла, скрыть аргументы командной строки и запустить программу, отличную от той, что отображается пользователю. Это потенциально открывает новые векторы для фишинга, атак с использованием USB-носителей или операций первоначального доступа.
Данное раскрытие добавляется к давним опасениям по поводу уязвимости в обработке LNK-файлов, которая неоднократно использовалась злоумышленниками, но оказалась сложной для полного устранения.
Хотя Microsoft не ответила немедленно на запрос о комментарии по поводу раскрытия информации, ранее компания признавала риски в этой области в своих рекомендациях по безопасности, включая консультативное уведомление от ноября 2025 года.
До сих пор Microsoft воздерживалась от классификации поведения Windows с LNK-файлами как обычной «уязвимости», но огромное количество продемонстрированных Бойкемой эксплойтов затрудняет защиту позиции Microsoft о том, что это всего лишь проблема пользовательского интерфейса.
Приманка и подмена
Ярлыки Windows служат указателями на программы или документы, но могут хранить больше, чем просто пути к файлам. LNK-файлы могут содержать аргументы командной строки, рабочие каталоги, значки и другие параметры запуска, фактически действуя как пусковая установка.
Бойкема выявил несколько ранее нераскрытых способов создания несоответствий между тем, на что, как представляется, указывает ярлык Windows, и тем, что он фактически запускает. Поскольку формат LNK позволяет хранить путь к цели в нескольких структурах, включая поля «TargetIDList», «EnvironmentVariableDataBlock» и «LinkInfo», Windows приходится выбирать, какому значению доверять. Этот процесс выбора может быть манипулирован.
По словам Бойкемы, при нормальных условиях Проводник Windows отдает приоритет записи EnvironmentVariableDataBlock, когда присутствуют и она, и TargetIDList, отображая и выполняя этот путь. Однако, если путь EnvironmentVariable является синтаксически недействительным путем к файлу Windows, Проводник по-прежнему отображает его в диалоговом окне «Свойства», но при выполнении молча переключается на скрытый путь TargetIDList.
Это позволяет ярлыку указывать на безобидный на вид файл, но при этом запускать совершенно другую программу.
Кроме того, раскрытые Бойкемой уязвимости используют другие резервные механизмы, возникающие из-за противоречивых метаданных. Если присутствует EnvironmentVariableDataBlock, но LinkTargetIDList не совпадает, Windows вместо этого запускает исполняемый файл из структуры LinkInfo, продолжая отображать путь EnvironmentVariable.
В варианте этого эксплойта, указание только ANSI-значения цели при оставлении соответствующего поля Unicode пустым заставляет Проводник рассматривать данные как несогласованные. Он отображает другой путь из LinkTargetIDList, отключает поле «Цель» для редактирования и скрывает аргументы. Тем не менее, выполняется скрытый ANSI-путь.
В совокупности эти действия потенциально могут позволить злоумышленникам подделать видимую цель, скрыть реальную и ввести пользователей в заблуждение, заставив их запускать непреднамеренные программы.
Скрытые аргументы командной строки
Помимо подмены цели, Бойкема продемонстрировал технику скрытия вредоносных инструкций командной строки за легитимными исполняемыми файлами. LNK-файлы могут запускать доверенные системные бинарные файлы Windows, передавая контролируемые злоумышленником инструкции через встроенные аргументы, что позволяет выполнять команды «living-off-the-land» (LOLBINs) без прямого указания на вредоносное ПО.
По словам исследователя, это можно сделать путем манипулирования входными данными, передаваемыми в определенные поля в разделе «ExtraData» LNK-файла, который определяет дополнительные метаданные цели. Включение флага «HasExpString» и настройка «EnvironmentVariableDataBlock» с полями «TargetANSI/TargetUnicode», заполненными нулевыми байтами, приводит к «неожиданным», по его словам, результатам.
«Во-первых, это отключает поле цели, то есть поле цели становится доступным только для чтения и его нельзя выбрать», — сказал Бойкема. «Во-вторых, это скрывает аргументы командной строки; тем не менее, при открытии LNK-файла они все равно передаются». Это поведение может быть использовано для запуска безобидного системного компонента при тайном выполнении произвольных команд, таких как загрузка полезной нагрузки или запуск скриптов.
Согласно раскрытию информации, это лучший подход для злоумышленников, чем использование CVE-2025-9491, поскольку его труднее обнаружить из-за отсутствия видимых, дополненных командных строк.
Бойкема отметил, что эта техника, как и другие описанные им, опирается на обычную обработку ярлыков Windows, а не на исправляемые ошибки. Это означает, что смягчение последствий в значительной степени зависит от отношения к недоверенным LNK-файлам как к потенциально опасным и предотвращения их открытия пользователями. «Microsoft утверждает, что, поскольку это требует от пользователя каких-либо действий, не нарушая при этом никаких границ безопасности, это не является уязвимостью безопасности», — сказал он. «Это не совсем необоснованно, поскольку в конечном итоге большинство из них сводится к ошибкам пользовательского интерфейса».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma