微软修复被长期滥用的Windows快捷方式漏洞

The Register

Carly Page

2025年12月4日，星期四 15:01 UTC

微软已悄然关闭了一个长期被间谍和网络犯罪网络滥用的关键Windows快捷方式文件漏洞。

该漏洞编号为CVE-2025-9491，它允许恶意的.lnk快捷方式文件对用户隐藏有害的命令行参数，从而在受害者打开快捷方式时实现隐藏的代码执行。

趋势科技的研究人员在3月份表示，自2017年以来，近千个恶意.lnk样本利用了此漏洞，这些样本遍布全球的国家级黑客活动和网络犯罪活动。他们当时指出：“我们的分析显示，来自朝鲜、伊朗、俄罗斯和中国的11个国家支持的黑客组织在行动中使用了ZDI-CAN-25373，其主要动机是网络间谍活动和数据窃取。”

这个技巧具有欺骗性的简单：恶意命令用空白字符（或其他非打印字符）填充，以至于当在Windows中查看快捷方式的属性时，“目标”字段看起来是无害的——空白或以无害的二进制文件结尾——从而有效地隐藏了恶意负载。

趋势科技的零日倡议最初试图让微软修补该漏洞，但遭到了拒绝，微软认为该漏洞“严重性较低”，未达到需要修复的标准。

但现在，这种自满的窗口已经关闭。据补丁观察者0patch称，微软在其2025年11月的“补丁星期二”修复包中推出了“静默缓解措施”。更新后，Windows的“属性”对话框现在会显示完整命令，从而关闭了攻击者所依赖的混淆技巧。

这个修复的时机并非偶然。10月，Arctic Wolf Labs的研究人员披露，一个与中国有关的间谍组织UNC6384（又名“Mustang Panda”），曾利用CVE-2025-9491针对匈牙利、比利时、意大利、塞尔维亚和荷兰的欧洲外交实体发起了一次有针对性的攻击。

攻击链始于冒充北约或欧盟委员会研讨会邀请的鱼叉式钓鱼邮件。当收件人打开看似无害的快捷方式时，隐藏的命令会触发经过混淆处理的PowerShell脚本，该脚本会投递一个多阶段负载，最终通过对合法的、经过签名的二进制文件进行DLL侧加载来安装PlugX远程访问木马。这为攻击者提供了对受感染系统的持久、隐蔽访问权限。

这次攻击活动凸显了LNK格式对攻击者而言变得多么有价值：简短、看似无害的文件可以绕过许多电子邮件附件过滤器，却仍然能够通过社会工程学实现完整的远程代码执行。

在我们首次发表这篇文章后，微软联系我们，并指出了其10月31日关于此问题的安全公告。当时，微软写道：“我们已调查此报告，并确定其未达到被归类为漏洞的标准。Microsoft Defender已有检测措施来检测和阻止此类威胁活动，智能应用控制通过阻止来自互联网的恶意文件提供了额外的保护层。”

然而，微软在给The Register的消息中强调，它正在不断改善用户体验，人们应该谨慎从未知来源下载文件，特别是当收到来自其软件的安全警告时。

对于防御者而言，微软的缓解措施并不意味着风险已经消失。可追溯到多年前的广泛利用历史表明，许多系统可能仍然受到入侵——并且直到所有受影响的Windows计算机都收到更新，该技术在野外仍然具有危险性。

文章于18:00更新，补充了微软的评论。赞助内容：Google Cloud上的生成式AI。免费开始使用。