根据新的安全报告,Windows 快捷方式文件 (LNK) 中长期存在的漏洞正被国家资助的黑客组织积极利用,对政府实体和外交官发起网络攻击。该漏洞编号为 CVE-2025-9491,允许攻击者在数百万用户每天使用的看似无害的快捷方式图标中隐藏恶意代码。尽管攻击数量不断增加,但据报道,微软决定不针对该问题发布直接补丁,理由是存在破坏合法操作系统功能的风险。 Windows LNK 文件通常用于指向应用程序或文档。但是,它们也可以配置为执行系统命令。该漏洞存在于 Windows 如何向用户显示这些文件属性的问题上。虽然 Windows 用户界面仅显示快捷方式目标路径的前 255 个字符,但文件格式本身最多支持 4,096 个字符。攻击者通过用大量空格“填充”其恶意命令来利用此漏洞。当用户检查文件属性时,他们会看到良性路径,但隐藏的恶意参数(例如下载恶意软件的 PowerShell 脚本)会在打开文件时立即执行。安全研究人员已将这种技术与备受瞩目的间谍活动联系起来。一个名为 XDSpy 的组织以东欧的政府机构为目标。在这些攻击中,该组织利用 LNK 文件触发合法的、微软签名的可执行文件。然后,该可执行文件旁加载了一个恶意 DLL 文件来安装“XDigo”有效负载,该有效负载能够窃取敏感数据、捕获屏幕截图和记录击键。据观察,另一个名为 UNC6384 的威胁行为者针对的是欧洲外交官。该组织使用类似的空格填充策略来隐藏部署 PlugX 远程访问木马的 PowerShell 命令,该木马通常与中国网络间谍活动相关。报告表明,这些攻击已被用来破坏匈牙利、比利时和其他北约联盟国家的系统。根据 Help Net Security 的报告,微软已确定此特定漏洞“不符合服务标准”。该公司的立场是,通过快捷方式启动带有参数的程序的能力是Windows操作系统的一个基本功能,改变这种行为可能会破坏合法软件。微软不是依靠代码修复,而是依靠其安全生态系统来减轻威胁。该公司表示,Microsoft Defender 能够标记恶意快捷方式,其智能应用程序控制功能可以阻止从互联网下载的不受信任的文件。安全专家建议用户像对待可执行 (.EXE) 文件一样谨慎对待 LNK 文件,尤其是当它们通过电子邮件或 ZIP 存档到达时。由于 Windows 界面可能无法揭示文件的全部危险,因此目视检查不再是可靠的安全措施。对于企业环境,建议安全团队配置 AppLocker 等策略,以限制快捷方式文件启动 PowerShell 等命令行工具。对于个人用户来说,保持防病毒软件最新仍然是抵御这些“零点击”或单击执行攻击的主要防线。
