Windows 漏洞遭大規模濫用 捷徑檔內可藏惡意程式 微軟表示未達修補門檻

自2017年起，11國駭客組織濫用Windows漏洞ZDI-CAN-25373，透過.lnk捷徑檔發動間諜攻擊，微軟至今未修補。

趨勢科技指出，從 2017 年起至少有北韓、中國、伊朗與俄羅斯的 11 國家駭客組織濫用了 Windows 漏洞，發動網路間諜及資料竊取攻擊。

但趨勢科技 Zero Day Initiative(ZDI) 研究人員 Peter Girnus 和 Aliakbar Zahravi 表示，由於微軟並未給予編號，研究人員將漏洞稱為 ZDI-CAN-25373。光是他們發現到攻擊該漏洞的可疑 Shell Link(.lnk) 檔就有上千個，實際數目可能更多。但微軟去年接獲通報時判定該漏洞「未到門檻標準」，拒絕在 9 月間的安全更新中予以修補。

ZDI-CAN-25373 起因是關鍵資訊的 UI 錯誤呈現 (User Interface Misrepresentation)，允許攻擊者利用 Windows 顯示捷徑 (.lnk) 檔案來躲避偵測，並在手戶不知情下，在未修補系統上執行程式碼。

攻擊者的濫用手法是將在指令行結構中，偷偷加入空白鍵，以便把惡意指令行引數 (arguments) 藏在.LNK 捷徑檔中。即便 Windows 用戶檢查.lnk 檔，也不會發現有惡意引數的存在，讓攻擊得以成功執行。

這類攻擊需要使用者互動，像是必須造訪惡意網頁或開啟。一旦滿足了這些條件，攻擊者就能在現有合法用戶帳號下執行程式。

這手法和去年的 CVE-2024-43461 很類似，攻擊者以 26 種特別符號，為 HTA「加料」，並冒充惡意 PDF 供用戶下載。CVE-2024-43461 是由 ZDI 研究員發現，但微軟在去年 9 月安全更新中修補。該漏洞遭到 Void Banshee APT 國家駭客組織濫用，攻擊北美、歐洲及東南亞用戶。

微軟後來指出，Microsoft Defender 已偵測並防堵了威脅活動，智慧應用程式管制 (Smart App Control) 可封鎖網際網路的檔案下載，提供多一層防護。微軟呼籲使用者提高警覺，避免從陌生來源下載檔案。微軟雖然認為趨勢科技報告指稱的 UI 設計問題未滿足需立即解決的條件，但微軟考慮在未來的功能更新中予以修補。

來源：Bleeping Computer