Microsoft тихомълком поправи критична уязвимост в Windows Shortcut (LNK)

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

CVE-2025-9491 позволяваше скрито изпълнение на код чрез .LNK файлове – новата актуализация на Patch Tuesday 2025 вече затваря пролуката.

За какво става дума?

В ноемврийските актуализации на Microsoft за 2025 г. бе тихомълком отстранена уязвимост, известна като CVE-2025-9491 (CVSS 7.8/7.0).
Проблемът се криеше в обработката на Windows Shortcut (.LNK) файлове, при която злонамерени команди остават скрити в интерфейса за свойства на файла.

Това позволява на нападатели да създадат LNK файлове, маскирани като обикновени документи, които да изпълняват код в контекста на текущия потребител, без той да забележи.

История на експлоатацията

Проблемът стана публично известен през март 2025 г., когато Trend Micro ZDI разкри, че 11 държавно спонсорирани групи от Китай, Иран, Северна Корея и Русия са го използвали в кампании за кражба на данни, шпионаж и финансови цели.
Сред тях са и нападенията на клъстера XDSpy, използвал Go-базирания зловреден код  XDigo срещу източноевропейски правителствени структури.

През октомври 2025 г. Arctic Wolf съобщи за нова офанзивна кампания, при която китайски хакери използват CVE-2025-9491 за доставка на PlugX malware към европейски дипломатически и правителствени обекти.

Техническа същност на уязвимостта

Същността на проблема е в дължината на Target полето на LNK файловете:

  • LNK позволява Target аргументи с десетки хиляди символи,

  • диалогът Properties показва само първите 260 символа, като скрива остатъка.

Така злонамерен код може да бъде частично скрит от потребителя, докато файлът изпълнява пълната команда. Microsoft посочва, че структурата на файла позволява до 32 000 символа, което е достатъчно за сложни експлойти.

Решението на Microsoft

Тихата актуализация вече показва цялата команда в Properties, независимо от дължината ѝ. Това предотвратява скриването на злонамерени инструкции.

0patch предложи микропач, който предупреждава потребителя, когато отваря LNK с над 260 символа в Target полето, като добавя допълнителен слой защита за реални атаки.

CVE-2025-9491 показва как дори малки интерфейсни недомислици могат да бъдат използвани от държавно спонсорирани хакери години наред.
Сега, благодарение на Patch Tuesday 2025, Windows потребителите получават по-видима защита срещу скрито изпълнение на код, което намалява риска от шпионски и финансово мотивирани атаки.

#CVE-2025-9491, # LNK, # Patch Tuesday, # Windows, # дистанционно изпълнение на код, # киберсигурност, # уязвимост
e-security.bg

Подобни

Apple коригира zero-day уязвимост в dyld
12.02.2026
apple-7446229_640
Критична уязвимост в AI-Notepad за Windows 11
11.02.2026
block-4914911_640
Microsoft разследва срив, блокиращ достъпа до Microsoft 365 Admin Center
11.02.2026
Microsoft-Office-365
Microsoft пусна Windows 11 KB5077181 и KB5075941
11.02.2026
windows-11-6377156_1280
Microsoft пусна Windows 10 KB5075912 с критични корекции
11.02.2026
windows-10-1535765_1280
Microsoft разследва сериозен инцидент в Exchange Online
10.02.2026
how-to-outlook

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.