В ноябре 2025 года Microsoft выпустила обновление, устраняющее уязвимость CVE-2025-9491 в файлах ярлыков Windows (LNK). Уязвимость позволяла выполнять код удалённо и активно эксплуатировалась различными группировками с 2017 года.
Как Microsoft устраняет уязвимости ярлыков в Windows
Исправление и предыдущие угрозы
По данным компании Trend Micro, эта уязвимость использовалась 11 группировками со спонсорством из Китая, Ирана, Кореи и России в шпионских и финансово мотивированных кампаниях. Было отмечено, что злоумышленники могли скрыть опасные команды, используя пробелы и другие методы маскировки.
Microsoft ранее предупреждала пользователей об опасности LNK-файлов и заблокировала их открытие через Outlook, Word, Excel и другие офисные приложения, чтобы избежать несанкционированного доступа. Кампании, связанные с распространением вредоносного ПО XDigo и бэкдора PlugX, привлекли особое внимание к данной уязвимости, что и повлияло на выпуск исправления.
Технические изменения и безопасность
Как сообщила компания Microsoft, обновление теперь позволяет отображать полную команду Target в диалоге свойств, тогда как ранее отображалось только 260 символов. Это изменение было направлено на устранение возможности скрытия вредоносных частей команд. Компания 0patch также выпустила микрозаплатку, предупреждающую пользователей при попытке открыть LNK-файл с длинными аргументами, защищая их от потенциальных атак.
