微軟在 2025 年 11 月的例行更新中,悄悄修補了一個自 2017 年起就被多個威脅組織持續利用的 Windows 安全漏洞。這個編號為
CVE-2025-9491 的
Windows 捷徑檔(LNK)漏洞,CVSS 評分達 7.8 分。攻擊者可利用此漏洞在捷徑檔中隱藏惡意命令。即使使用者檢查檔案屬性,也無法察覺異常。
漏洞成因與攻擊手法
此漏洞源於 Windows 處理 LNK 檔案的方式存在缺陷。
攻擊者利用各種「空白字元」填充目標欄位(Target field),將惡意命令隱藏起來。當使用者透過 Windows 內建介面檢視捷徑檔屬性時,系統只顯示前 260 個字元,其餘內容會被截斷,使用者無法察覺異常。
LNK 檔案格式允許目標字串長達 32,000 個字元,攻擊者利用這個特性構造包含超長命令的捷徑檔。由於電子郵件平台通常會直接封鎖 LNK 附件,攻擊者將這些檔案偽裝成無害文件,透過壓縮檔格式散布。
多國政府支持的駭客組織廣泛利用
2025 年 3 月,趨勢科技 Zero Day Initiative(ZDI) 首次揭露此漏洞時,
發現已有 11 個國家級駭客組織在利用這個弱點進行攻擊,分別來自中國、伊朗、北韓和俄羅斯。這些組織包括
Evil Corp、Bitter、APT37、APT43(又稱Kimsuky)、Mustang Panda、SideWinder、RedHotel、Konni 等。攻擊目的涵蓋資料竊取、間諜活動和金錢詐欺。
法國資安公司 HarfangLab 在同年3月發現,間諜組織 XDSpy 利用此漏洞散布名為 XDigo 的 Go 語言惡意軟體,鎖定東歐政府機構。10月時,Arctic Wolf 警告中國駭客組織 Mustang Panda 利用此零時差漏洞攻擊歐洲外交和政府單位,投放
PlugX 遠端存取木馬。
微軟態度轉變
微軟最初對這個漏洞態度消極。2025年3月,微軟表示此漏洞「不符合立即修補的標準」,理由是需要使用者互動且系統已有警告訊息,因此不將其視為真正的漏洞。
在多起攻擊事件曝光後,情況出現了轉變。ACROS Security 的 0patch 團隊發現,微軟在 2025 年 6 月的更新中悄悄修改了 LNK 檔案的處理方式。安裝最新更新後,使用者開啟 LNK 檔案內容時,現在可以看到目標欄位中的所有字元,不再受限於前 260 個字元。
然而,微軟的修改並非完整解決方案。ACROS Security 執行長 Mitja Kolsek 指出,雖然使用者現在能看到完整命令字串,但系統不會刪除惡意參數,也不會在開啟包含超長目標字串的 LNK 檔案時主動發出警告。
防護建議
資安專家建議一般使用者採取以下防護措施:
- 避免開啟來源不明的檔案,特別是壓縮檔中的 LNK 捷徑檔
- 啟用並留意 Windows 的安全警告訊息
- 定期更新作業系統至最新版本
- 檢查可疑捷徑檔的內容屬性,特別注意目標欄位是否包含異常長的命令字串
- 在企業環境中考慮部署端點偵測與回應(EDR)解決方案
這起事件凸顯零時差漏洞的嚴重性,以及廠商對已知漏洞的修補態度如何影響使用者的資安防護。
本文轉載自 BleepingComputer、TheHackerNews。