Un scurt istoric: scurtăturile LNK au apărut odată cu Windows 95 și au rămas în ecosistemul digital al utilizatorilor pentru decenii, uneori ca un ajutor discret, alteori ca o sursă de confuzie. La festivalul Wild West Hackin’ Fest, cercetătorul în securitate Wietze Beukema a expus mai multe vulnerabilități din fișierele shortcut LNK ale Windows, demonstrând cum aceste relicve vechi pot fi folosite pentru a ascunde ținte malițioase și a induce în eroare utilizatorii.
Beukema a arătat patru tehnici noi prin care un atacator poate altera structura binară complexă a unui fișier LNK, astfel încât proprietățile afișate în Windows Explorer să pară a indica un program sau un document legitim, iar la deschidere să ruleze un alt executabil, potențial periculos. Formatul LNK include blocuri opționale multiple care pot conține diferite căi; problema apare când Explorer gestionează inconsistent conflictele dintre aceste câmpuri și preferă afișarea unei informații incorecte. Unele variante utilizează caractere care sunt vizual acceptabile, dar tehnic neconforme, cum ar fi ghilimelele inserate în căi, pentru a construi un traseu afișat valid în fereastra Properties, care însă la execuție este ignorat în favoarea unei căi diferite. O altă abordare manipulează valorile din LinkTargetIDList, permițând ca LinkInfo să afișeze ceva, în timp ce la rulare pornește altceva.
Cea mai periculoasă tehnică semnalată implică blocul EnvironmentVariableDataBlock dintr-un LNK. Completând doar câmpul ANSI pentru țintă și lăsând câmpul Unicode necompletat, atacatorul poate afișa în proprietăți un nume inofensiv, de exemplu invoice.pdf, în timp ce la dublu-click se lansează PowerShell sau comenzi ce execută cod. În acest caz, ținta vizibilă se găsește în TargetIdList, iar ținta efectivă în EnvironmentVariableDataBlock, ceea ce permite și utilizarea variabilelor de mediu pentru execuție. Rezultatul este că utilizatorul vede o cale aparent corectă, dar se rulează ceva complet diferit, iar argumentele din linia de comandă pot fi ascunse, îngreunând detectarea umană.
Beukema notează că Windows Explorer tratează cu toleranță astfel de fișiere LNK malformate: în loc să le respingă, le afișează informațiile falsificate. Pentru a facilita testarea și identificarea acestor comportamente, el a publicat unelte open-source sub numele lnk-it-up, capabile să genereze LNK-uri folosind tehnicile descrise și să arate ce va afișa Explorer versus ce va executa efectiv. Un asemenea instrument este valoros pentru echipele de securitate care doresc să analizeze fișiere suspecte într-un mediu controlat.
Microsoft Security Response Center a evaluat în septembrie problema legată de EnvironmentVariableDataBlock (VULN-162145) și a concluzionat să nu o clasifice drept vulnerabilitate de securitate, argumentând că exploatarea necesită interacțiune din partea utilizatorului și nu implică o încălcare a limitelor de securitate. Reprezentanții Microsoft au menționat că Microsoft Defender are detecții pentru astfel de activități și că Smart App Control poate bloca fișierele malițioase descărcate de pe internet. De asemenea, Windows marchează fișierele .lnk ca posibile pericole și afișează o avertizare la deschiderea celor descărcate din rețea, iar Microsoft recomandă respectarea acestor mesaje de securitate. Răspunsul oficial este coerent în contextul proceselor de clasificare, însă Beukema avertizează că utilizatorii tind să ignore rapid astfel de avertismente, motiv pentru care vulnerabilități similare au fost exploatate frecvent de atacatori.
Un exemplu ilustrativ este CVE-2025-9491, menționat în legătură cu tehnicile de mascarea a argumentelor prin padding cu spații. Această slăbiciune a fost exploatată ani la rând în atacuri zero-day de grupuri de criminalitate cibernetică și de actori sprijiniți de state. Investigațiile din 2025 au evidențiat utilizarea intensivă a acestei metode: Trend Micro a raportat în martie că cel puțin 11 grupuri, între care Evil Corp, Bitter, APT37, APT43 (Kimsuky), Mustang Panda, SideWinder, RedHotel și Konni, abuzau această tactică. Arctic Wolf a descris în octombrie cum Mustang Panda a profitat de vulnerabilitate pentru a distribui trojanul PlugX în atacuri îndreptate asupra diplomaților europeni din Ungaria, Belgia și alte țări. Microsoft a ajustat discret comportamentul fișierelor LNK în iunie 2025 pentru a diminua exploatarea activă a CVE-2025-9491, iar aceste modificări au urmat documentării abuzurilor.
Problema semnalată de Beukema reamintește că moștenirea unor formate vechi, precum LNK, poate genera suprafețe de atac subtile; soluțiile trebuie să fie nu doar tehnice, ci și legate de proiectarea interacțiunii cu utilizatorul. Detectarea automată din Defender și mecanismele de blocare sunt importante, însă nu elimină riscul atunci când oamenii sunt păcăliți să deschidă fișiere. lnk-it-up pune la dispoziția echipelor de securitate un instrument practic pentru a verifica comportamentul real al shortcut-urilor și pentru a regla regulile de detecție.
CVE-2025-9491 servește aici ca un exemplu clar al modului în care vulnerabilitățile din formatul LNK au fost exploatate pe scară largă. Analiza indică faptul că actorii rău-intenționați combină elemente tehnice (LinkTargetIDList, EnvironmentVariableDataBlock, diferențe ANSI/Unicode) cu tehnici de manipulare a utilizatorului (click rapid la avertismente) pentru a obține execuție neautorizată. Măsurile practice includ instrumente de testare precum lnk-it-up, reguli de detecție în Defender și prudență sporită față de fișierele .lnk obținute din surse necunoscute. Crezi că schimbările făcute de Microsoft în iunie 2025 și detectările curente sunt suficiente pentru a reduce riscul sau ar fi necesare acțiuni suplimentare la nivelul designului sistemului?
Fii primul care comentează