【安全圈】微軟修復Windows LNK 0day漏洞

關鍵詞

漏洞

微軟近日悄然緩解了一個被多支國家級黑客組織和網絡犯罪團伙在零日攻擊中積極利用的 Windows LNK 高危漏洞。該漏洞編號為CVE-2025-9491，允許攻擊者在 Windows 快捷方式（.lnk 文件）中隱藏惡意命令，用于部署惡意軟件并在受害設備上獲取持久控制權。

該漏洞的攻擊需要受害者主動打開惡意的快捷方式文件。由于電子郵件系統普遍阻止 .lnk 附件，攻擊者通常會將快捷方式放入 ZIP 等壓縮包中進行投遞。

漏洞利用方式

漏洞源于 Windows 對 .lnk 文件的處理方式。攻擊者可在快捷方式的Target（目標）字段中加入大量空白字符，使 Windows 在顯示屬性時只顯示前 260 個字符，從而隱藏真正的命令行參數。

?用戶打開快捷方式時，實際執行的是被隱藏的惡意命令。

Trend Micro 的研究人員發現，這個漏洞從 2025 年 3 月起就被廣泛濫用，涉及11 個國家級組織和多支網絡犯罪團伙，包括：

• Evil Corp

• Bitter

• 朝鮮 APT37、APT43（Kimsuky）

• 中國 Mustang Panda（紅熊貓）

• SideWinder

• RedHotel

• Konni

• 其他多個高級威脅組織

各種惡意軟件加載器和木馬（如 Ursnif、Gh0st RAT、TrickBot 等）均通過此漏洞投遞。

Arctic Wolf Labs 在 2025 年 10 月也報告稱，中國國家支持的 Mustang Panda 利用此漏洞對歐洲多國外交人員發動零日攻擊，投遞 PlugX 木馬。

微軟的“無聲”緩解措施

微軟今年 3 月曾表示將“考慮修復”此漏洞，但認為其“不滿足立即修復標準”。

11 月的安全通告中，微軟甚至稱該問題“不構成漏洞”，理由是利用需要用戶交互，且 Windows 已提供安全警告。然而，攻擊者可通過Mark of the Web（MotW）繞過漏洞，使用戶警告消失。

盡管態度曖昧，研究人員發現微軟在2025 年 6 月累計更新中已悄然部署緩解措施：

?Windows 現在會在快捷方式屬性中顯示 Target 字段的全部內容，而不再只顯示前 260 個字符。

但這并非真正修復：

• 惡意參數依舊保留

• 用戶打開含惡意命令的 LNK 時仍不會收到警告

• 攻擊仍然可能成功

因此，微軟的更新更像可視化改善，而非安全修復。

非官方補丁發布

在微軟未完全修復漏洞的情況下，ACROS Security 通過其0patch 平臺發布了非官方微補丁：

• 將快捷方式 Target 字符串長度強制限制為 260 字符

• 打開目標字符串過長的 LNK 文件時向用戶發出安全警告

• 可完全阻斷 Trend Micro 識別的上千個正在利用該漏洞的惡意快捷方式

該補丁適用于：

• Windows 7 ~ Windows 11 22H2

• Windows Server 2008 R2 ~ Windows Server 2022
  （包括已停止支持的版本）

需要 PRO 或 Enterprise 賬戶。

風險分析

• 此漏洞已被有組織的國家級黑客武器化

• 現實攻擊頻繁，目標包括政府、大學、大型企業、媒體和外交人員

• 微軟的修復措施有限但已緩解風險

• 非官方補丁能提供更嚴格的防護

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！