Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Microsoft “mitigates” Windows LNK flaw exploited as zero-day

3 minute de lecture

Mis à jour :

Vulnérabilité LNK Windows : Exploitation et Mesures

Une faille de sécurité critique affectant les fichiers LNK de Windows, identifiée sous la référence CVE-2025-9491, a été exploitée en mode “zero-day” par plusieurs groupes d’acteurs malveillants étatiques et criminels. Cette vulnérabilité permet d’intégrer des commandes malveillantes dans les fichiers LNK, facilitant le déploiement de logiciels malveillants et l’obtention d’une persistance sur les systèmes compromis. L’exploitation nécessite l’interaction de l’utilisateur, souvent trompé pour ouvrir un fichier LNK infecté, généralement distribué dans des archives comme les ZIP.

La faille réside dans la manière dont Windows traite les fichiers LNK, permettant aux attaquants de masquer des arguments de ligne de commande malveillants en les “bourrant” d’espaces blancs dans le champ “Cible”. Cela limite l’affichage des propriétés du champ à 260 caractères, empêchant l’utilisateur de voir la commande réelle exécutée lors de l’ouverture du fichier. En mars 2025, Trend Micro a identifié que onze groupes, incluant Evil Corp, Bitter, APT37, APT43 (Kimsuky), Mustang Panda, SideWinder, RedHotel, et Konni, exploitaient déjà activement cette vulnérabilité, déployant divers malwares tels que Ursnif, Gh0st RAT, et Trickbot. Le groupe Mustang Panda a également été cité pour son utilisation de cette faille contre des diplomates européens afin de déployer le RAT PlugX.

Microsoft a initialement jugé que la vulnérabilité ne nécessitait pas une intervention immédiate, arguant que l’interaction utilisateur et les avertissements du système suffisaient. Cependant, en novembre, des changements ont été apportés silencieusement aux mises à jour de Windows. Ces modifications permettent désormais de visualiser l’intégralité du champ “Cible” des propriétés des fichiers LNK, révélant ainsi les arguments potentiellement malveillants. Néanmoins, ces changements ne suppriment pas les arguments malveillants présents et n’affichent pas d’avertissement si la chaîne dépasse 260 caractères.

En l’absence d’une correction jugée suffisante par certains experts, ACROS Security a publié un correctif non officiel via sa plateforme 0Patch. Ce correctif limite la longueur des chaînes de cible des raccourcis à 260 caractères et alerte les utilisateurs sur les risques liés à l’ouverture de raccourcis avec des chaînes inhabituelles. Ce correctif est disponible pour les utilisateurs ayant des comptes PRO ou Enterprise sur les versions de Windows supportées et non supportées.

Points Clés :

  • Vulnérabilité : Faille dans la gestion des fichiers LNK de Windows.
  • CVE : CVE-2025-9491.
  • Mécanisme : Masquage d’arguments malveillants dans le champ “Cible” des fichiers LNK via des espaces blancs, limitant l’affichage à 260 caractères.
  • Impact : Déploiement de logiciels malveillants, obtention de persistance, exécution de code sans connaissance de l’utilisateur.
  • Acteurs : Nombreux groupes étatiques et criminels (Evil Corp, Mustang Panda, APT37, Kimsuky, etc.).
  • Malwares utilisés : Ursnif, Gh0st RAT, Trickbot, PlugX.
  • Atténuation Microsoft : Modification silencieuse dans les mises à jour de novembre permettant de visualiser le champ “Cible” complet.
  • Limitations de l’atténuation Microsoft : Ne supprime pas les arguments malveillants et n’avertit pas pour les chaînes > 260 caractères.
  • Correctif non officiel : Proposé par ACROS Security (0Patch), limite la longueur et alerte les utilisateurs.

Vulnérabilités :

  • CVE-2025-9491 : Vulnérabilité critique permettant l’exécution de commandes arbitraires via des fichiers LNK en exploitant la limitation d’affichage du champ “Cible”.

Recommandations :

  • Maintenir les systèmes Windows à jour, bien que la correction de Microsoft soit considérée comme partielle par certains.
  • Exercer une vigilance accrue lors de l’ouverture de fichiers LNK, en particulier ceux provenant de sources non fiables ou distribués via des archives.
  • Envisager l’utilisation de solutions de sécurité tierces offrant des protections supplémentaires, comme le correctif non officiel de 0Patch pour les utilisateurs éligibles.
  • Sensibiliser les utilisateurs aux risques liés aux fichiers raccourcis et à la vérification de leur contenu, si possible.

Source

Vous pourriez aimer

Weekly Update 484

1 minute de lecture

Mis à jour :

Mises à jour hebdomadaires et aperçu des menaces