TokyoBlackHatNews

bleepingcomputer.com 4分で読了

Microsoft、ゼロデイで悪用された Windows LNK 脆弱性を「緩和」

Image

Microsoft は、複数の国家支援型およびサイバー犯罪系ハッカーグループによってゼロデイ攻撃で悪用されていた、高深刻度の Windows LNK 脆弱性を、ひそかに「緩和」しました。

CVE-2025-9491 として追跡されているこのセキュリティ欠陥は、攻撃者が悪意あるコマンドを Windows LNK ファイル内に隠すことを可能にし、マルウェアの展開や、侵害されたデバイス上での永続化に利用されるおそれがあります。ただし、この攻撃が成功するにはユーザーの操作が必要であり、被害者候補をだまして悪意のある Windows ショートカット(.lnk)ファイルを開かせる手口が用いられます。

脅威アクターは、メールプラットフォームが危険性の高さから .lnk 添付ファイルを一般的にブロックするため、これらのファイルを ZIP などのアーカイブに入れて配布します。

, Evil Corp、Bitter、APT37、APT43(Kimsuky としても知られる)、Mustang Panda、SideWinder、RedHotel、Konni などを含みます。

​​「Ursnif、Gh0st RAT、Trickbot などの多様なマルウェアペイロードやローダーが、これらのキャンペーンで観測されています。マルウェア・アズ・ア・サービス(MaaS)プラットフォームの存在により、脅威状況はさらに複雑化しています」と、Trend Micro は述べています

Arctic Wolf Labs も 10 月に、中国の国家支援型ハッカーグループ Mustang Panda が、ハンガリー、ベルギー、その他の欧州諸国の欧州外交官を標的としたゼロデイ攻撃で、この Windows 脆弱性を悪用し、PlugX リモートアクセス型トロイの木馬(RAT)マルウェアを展開していたと報告しました

Image
ターゲット欄に表示されない悪意ある引数(Trend Micro)

Microsoft がひそかに「パッチ」を配布

​Microsoft は 3 月、BleepingComputer に対し、このゼロデイ欠陥について「対処を検討する」と述べましたが、「即時対応が必要とされる基準は満たしていない」とも説明していました。

また、11 月のアドバイザリでは、ユーザー操作が関与していることと、「この形式は信頼できない」とシステムがすでにユーザーに警告することを理由に、これを脆弱性とは見なしていないと付け加えました。しかし、脅威アクターは Mark of the Web 回避の脆弱性を悪用することで、これらの警告を迂回し、攻撃の成功率を高めることが可能でした。

それにもかかわらず、ACROS Security CEO 兼 0patch 共同創業者の Mitja Kolsek が発見したように、Microsoft は 11 月の更新で LNK ファイルの挙動をひそかに変更しCVE-2025-9491 の欠陥を緩和しようとした形跡があります。先月の更新をインストールすると、LNK ファイルのプロパティを開いた際、ターゲット欄に最初の 260 文字だけでなく、すべての文字が表示されるようになりました。

しかし、これは必ずしも修正とは言えません。LNK ファイルに追加された悪意ある引数は削除されず、ターゲット文字列が 260 文字を超える LNK ファイルを開いても、ユーザーには何の警告も表示されないためです。

この変更が脆弱性の緩和を意図したものかどうかを確認するため、BleepingComputer が本日早朝に問い合わせた時点では、Microsoft の広報担当者からのコメントは得られていませんでした。

非公式パッチが利用可能

Microsoft がこのセキュリティ欠陥に適切に対処するまでの間、ACROS Security は 0Patch マイクロパッチプラットフォームを通じて非公式パッチを公開しました。このパッチは、すべてのショートカットのターゲット文字列を 260 文字に制限し、異常に長いターゲット文字列を持つショートカットを開く際に、潜在的な危険性についてユーザーに警告します。

「当社のパッチであれば、Trend Micro が特定した 1000 件以上の悪意あるショートカットは、すべての標的ユーザーに対して無効化されます。一方、Microsoft のパッチでは、もともとそのようなショートカットを実行しないであろう、最も慎重なユーザーだけが、悪意あるコマンド文字列全体を確認できるにとどまります」と Kolsek は述べています。

「悪意あるショートカットは 260 文字未満でも構築可能ではありますが、実際に野外で観測された攻撃を妨害することは、標的となったユーザーにとって大きな違いを生むと考えています。」

ACROS Security の 非公式 CVE-2025-9491 パッチは、サポート終了となった Windows バージョン(Windows 7 から Windows 11 22H2、Windows Server 2008 R2 から Windows Server 2022)を利用している、PRO または Enterprise アカウントを持つ 0patch ユーザー向けに提供されています。

翻訳元: https://www.bleepingcomputer.com/news/microsoft/microsoft-mitigates-windows-lnk-flaw-exploited-as-zero-day/

ソース: bleepingcomputer.com
#0patch(ACROS Security) #2025年サイバーセキュリティ #CVE-2025-9491 #Google・Microsoftのセキュリティ対応 #LNKファイル攻撃 #PRC国家支援ハッカー #Samsungセキュリティパッチ #Windows脆弱性 #ゼロデイ攻撃 #マルウェア配布

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用