Microsoftは、2025年11月のセキュリティアップデートで悪用されていたLNK脆弱性を静かに緩和したと、Acros Securityが発表しました。
CVE-2025-9491(CVSSスコア7.0)として追跡されているこのセキュリティ欠陥は、攻撃者が悪意のあるLNKファイルの目的を、ユーザーの目からコードを隠すことで難読化できるものでした。
このバグは、Trend MicroのZero Day Initiative(ZDI)によって3月に公開され、十数の脅威アクターが何年にもわたり悪用していたと警告されていました。10月時点でも、悪用は継続していました。
ZDIは、Windowsがショートカット(LNK)ファイルのプロパティタブをユーザーが確認した際に、悪意ある活動を示す重要な情報を表示しないことを説明しました。
そのため、攻撃者はコマンドライン引数を埋め込んだ特別に細工されたLNKファイルを使い、マルウェアの実行につなげていました。
この脆弱性を悪用するには、ユーザーが手動でショートカットファイルを実行する必要があるため、攻撃者はそれらを無害なドキュメントに偽装していました。
問題は、LNKファイルのプロパティを表示する際、Windowsは「ターゲット」フィールドに最初の260文字しか表示しなかったことにありますが、ファイルの構造上は理論的に最大32k文字までの文字列が許容されています。
Windowsは単純に残りの文字列を切り捨ててしまい、非常に長いPowerShellやBATスクリプトをユーザーの目から本質的に隠していたと、Acros Securityは指摘しています。
さらに、攻撃者が文字列の最初の260文字に空白を使うことで、ファイルのプロパティを確認するユーザーからコマンド全体が完全に隠されていました。
ユーザーの操作が悪用の鍵
実際、Microsoftは以前SecurityWeekに対し、ユーザーは通常ファイルのプロパティを確認せず、Microsoft Defenderにはこの手法を検出する機能があると述べていました。
この脆弱性は即時対応の基準を満たしていないとし、同社は機能リリースでの対応を検討していると説明していました。
Acros Securityによると、Microsoftの11月のセキュリティアップデートで悪用されていたLNK脆弱性が修正され、Windowsではショートカットファイルのプロパティタブの「ターゲット」フィールドに全ての文字列が表示されるようになりました。
Acros Securityは、自社の0Patchソリューション利用者向けに代替パッチも開発しています。
この静かなパッチの前に、MicrosoftはCVE-2025-9491に関するガイダンスを公開し、Windowsの既存の保護機能やインターネットからファイルをダウンロードする際の警告、LNKファイルを開くために必要なユーザー操作が脅威を緩和すると強調していました。
同ガイダンスでは、LNKファイルはユーザーが開く必要のあるZIPアーカイブ内でのみ配布可能であり、さらにそのようなショートカットファイルを開く際、Windowsはフォーマットが信頼できないことをユーザーに警告すると説明しています。
「Windowsはショートカットファイル(.lnk)を潜在的に危険なファイルタイプとして識別します。インターネットからダウンロードした.lnkファイルを開こうとすると、自動的にセキュリティ警告が表示され、未知のソースからのファイルを開かないようユーザーに警告します。私たちはこの警告に従うことを強く推奨します」とMicrosoftのガイダンスには記載されています。
翻訳元: https://www.securityweek.com/microsoft-silently-mitigated-exploited-lnk-vulnerability/
