Microsoft тихо замиловала zero-day в LNK

Microsoft снова провернул классический финт ушами: огромный, массивный, пахнущий прожаренным эксплойтом zero-day в Windows LNK файлах официально как бы и не баг, но «миграция поведения» внезапно появилась в обновлениях. Формально — не патч. Фактически — попытка замести следы и сделать вид, что так и было задумано.

Речь про CVE-2025-9491 — высокосерьёзную дыру, которую весь зоопарк госгрупп и кибербандитов юзает уже давно. От APT37 и Kimsuky до Mustang Panda, SideWinder, Konni, Bitter, Evil Corp и прочих ребят, которые давно уже на короткой ноге с LNK-шорткатами. Трюк простой, но мерзкий: злоумышленники забивают Target-филд в .lnk огромным количеством пробелов и прячут там злонамеренные аргументы. Windows всё равно показывает только первые 260 символов, так что пользователь думает, что запускает что-то harmless, а на деле отщёлкивает RAT, загрузчик или очередной Ursnif.

Распространяют такие LNK через ZIP-архивы, потому что почта давно хватается за голову при виде .lnk и рубит их на взлёте. В марте Trend Micro прямо сказала: больше десяти APT и кибербандформирований юзают эту штуку в реальных атаках. Mustang Panda, например, раздавал PlugX европейским дипломатам через такие вот «симпатичные» ярлыки — zero-day в чистом виде.

Microsoft же ещё весной заявлял, что проблема «не дотягивает до уровня срочного исправления» и вообще «там же есть предупреждение о недоверенном файле» — будто Mark of the Web нельзя обойти, как это делают все нормальные злоумышленники последние десять лет.

Но вот подкрадывается июнь 2025, и обновления Windows тихой поступью делают хитрый финт: теперь Target в свойствах LNK показывает всю строку, а не только первые 260 символов. Никаких анонсов, никаких CVE-фиксов, ничего. Просто «мы так решили». Но это не исправление. Это косметика. Аргументы никуда не деваются, предупреждений нет, пользователи как были уязвимыми, так и остались.

Зато 0patch, как обычно, сделал то, что Microsoft «не успел»: выпустили свой микропатч, который обрезает Target до 260 символов и орёт пользователю, если ярлык ведёт себя слишком подозрительно. «Наш патч ломает 1000+ реальных вредоносных LNK, которые Trend Micro нашла в дикой природе», — говорит Mitja Kolsek. То есть буквально делает то, что Microsoft не считает нужным.

Официальная позиция Microsoft прояснилась только под конец года: «Будьте осторожны, когда запускаете файлы из неизвестных источников» — классический корпоративный дзен. Переводя на человеческий: «Мы ничего чинить не будем, береги себя сам».

Сейчас LNK-уязвимость всё ещё свободно гуляет, просто чуть хуже маскируется. А 0patch держит единственную реальную защиту для тех, кто сидит на неподдерживаемых версиях Windows или не хочет ждать пока Microsoft «созреет».

Иными словами: zero-day всё ещё жив, эксплойты всё ещё в ходу, а Microsoft делает вид, что это вообще не их праздник.