A Microsoft lançou discretamente uma mitigação parcial para a vulnerabilidade de alta gravidade do Windows LNK, CVE-2025-9491, que vários grupos patrocinados pelo estado e gangues de crimes cibernéticos têm explorado como um dia zero. Essa falha de segurança permite que invasores ocultem comandos maliciosos dentro de arquivos de atalho padrão do Windows.
O principal problema decorre de como o Windows lida com esses arquivos de atalho. Se você já verificou as propriedades de um atalho, saberá que existe um campo chamado “Destino” que mostra o comando que o atalho executa. Historicamente, a IU do Windows exibia apenas os primeiros 260 caracteres desse campo Destino.
Os invasores descobriram que poderiam construir programaticamente arquivos LNK com sequências de comandos extremamente longas, às vezes com dezenas de milhares de caracteres, e então preencher o início dessa sequência com caracteres de espaço em branco. Esse truque empurrou o código malicioso real, que implantava ferramentas como trojans de acesso remoto (RATs) e carregadores, completamente fora da visão do usuário.
Como o usuário estava vendo apenas um campo cheio de espaços inofensivos, ele não tinha ideia do que estava prestes a ser executado quando clicou duas vezes no arquivo. Infelizmente, isso não era uma ameaça teórica. Os analistas da Trend Micro descobriram em março que esta vulnerabilidade tinha sido amplamente explorada, com campanhas que datavam de 2017.
Os pesquisadores encontraram cerca de mil atalhos maliciosos por aí. Atores de ameaças de alto perfil, como Evil Corp, APT37, Bitter e o Mustang Panda, apoiado pelo estado chinês, estavam todos aproveitando esse truque para implantar malware, incluindo Ursnif, Gh0st RAT e Trickbot. O Arctic Wolf Labs observou especificamente que o Mustang Panda usou a falha em ataques de dia zero contra diplomatas europeus em países como Hungria e Bélgica, empurrando o PlugX RAT para sistemas comprometidos.
Os ataques dependiam da abertura do arquivo LNK malicioso pelas vítimas. Os agentes de ameaças geralmente distribuem esses arquivos dentro de ZIP ou outros arquivos porque os provedores de e-mail são inteligentes o suficiente para bloquear anexos .lnk brutos devido à sua natureza arriscada.
O CEO da ACROS Security e cofundador do 0patch, Mitja Kolsek, notou que a Microsoft mudou silenciosamente o comportamento da caixa de diálogo Propriedades. Agora, quando você abre as propriedades de um arquivo LNK, o campo Destino mostra todos os caracteres, não importa o tamanho da string.
Embora restaurar a confiança na IU seja definitivamente um passo na direção certa, não é uma solução completa. A atualização não exclui os argumentos maliciosos que já estão presentes nos arquivos LNK existentes. Além disso, o usuário não recebe nenhum aviso de que a sequência de destino é excepcionalmente longa.
Se um agente de ameaça construir uma sequência de comandos com milhares de caracteres, apenas os usuários mais preocupados com a segurança se darão ao trabalho de percorrer todo esse pequeno campo para encontrar o código oculto. Para a pessoa média, esta mudança não oferece muita proteção prática contra a engenharia social.
Devido às limitações da correção silenciosa da Microsoft, a ACROS Security decidiu lançar seu próprio patch não oficial por meio da plataforma de micropatch 0patch. Em vez de apenas mostrar a string completa, a solução 0patch limita todas as strings de destino de atalho a 260 caracteres. Se um arquivo de atalho exceder esse comprimento, o patch encurta o comando e alerta o usuário sobre o perigo potencial.
Em última análise, a Microsoft merece crédito por abordar silenciosamente a deturpação da interface do usuário que tornou esse dia zero tão eficaz. No entanto, o fato de que um patch não oficial de terceiros teve que ser criado para bloquear agressivamente os vetores de ataque reais mostra que ainda há trabalho a ser feito para tornar esses tipos de correções críticas de segurança verdadeiramente eficazes para as massas.
Fonte: Computador Bleeping