微软悄然关闭长期遭间谍活动滥用的Windows快捷方式漏洞

微软已悄然堵上了一个长期被间谍和网络犯罪网络滥用的关键Windows快捷方式文件漏洞。

该漏洞编号为CVE-2025-9491，它允许恶意的.lnk快捷方式文件向用户隐藏有害的命令行参数，从而在受害者打开快捷方式时实现隐藏的代码执行。

趋势科技的研究人员在3月份表示，自2017年以来，全球范围内有近千个恶意.lnk样本利用了此漏洞，涉及一系列由国家支持的网络组织和网络犯罪活动。他们当时指出：“我们的分析显示，来自朝鲜、伊朗、俄罗斯和中国的11个国家支持组织在主要出于网络间谍和数据盗窃动机的行动中使用了ZDI-CAN-25373漏洞。”

其手法具有欺骗性的简单：恶意命令通过填充空格（或其他非打印字符）来伪装，以至于在Windows中查看快捷方式的属性时，“目标"字段看起来是无害的——显示为空白或以无害的二进制文件结尾——从而有效地隐藏了恶意的负载。

趋势科技"零日计划”（ZDI）最初尝试推动微软修补该漏洞时遭到了拒绝，微软认为该漏洞"严重性较低"，未达到需要修复的门槛。

但这种放任的窗口现已关闭。根据补丁观察者0patch的信息，微软在其2025年11月的"补丁星期二"修复包中推出了"静默缓解措施"。更新后，Windows的"属性"对话框现在会显示完整的命令，从而关闭了攻击者所依赖的混淆手法。

修复的时机并非偶然。10月，Arctic Wolf Labs的研究人员披露，一个被称为UNC6384或"Mustang Panda"、与中国有关的间谍组织，利用CVE-2025-9491漏洞针对匈牙利、比利时、意大利、塞尔维亚和荷兰的欧洲外交实体发起了一次定向攻击活动。

攻击链始于伪装成北约或欧盟委员会研讨会邀请的鱼叉式网络钓鱼邮件。当收件人打开一个看似无害的快捷方式时，隐藏的命令会触发经过混淆的PowerShell脚本，投递多阶段负载，最终通过合法的、已签名的二进制文件的DLL旁加载，安装了PlugX远程访问木马。这为攻击者提供了对受感染系统的持久、隐秘访问权限。

此次攻击活动凸显了LNK格式对攻击者的价值：简短、看似无害的文件可以绕过许多电子邮件附件过滤器，却仍然能够通过社会工程学实现完整的远程代码执行。

对于防御者而言，微软的缓解措施并不意味着风险已经消失。可追溯到多年前的广泛利用历史表明，许多系统可能仍然处于受感染状态——在所有受影响的Windows机器收到更新之前，该手法在现实世界中仍然构成危险。赞助内容：Google Cloud上的生成式AI。免费开始使用。