Майкрософт не исправляет уязвимость в ярлыках, которой уже 8 лет и которая используется для шпионажа.

Trend Micro обнаружил восьмилетнюю кампанию по шпионажу, которая использовала уязвимость Windows и вредоносные файлы ярлыков .LNK. Атакующие заполняли эти файлы дополнительными пробелами, чтобы скрыть команды. Несмотря на то, что компания Microsoft была уведомлена об этой проблеме в 2023 году, она считает ее проблемой интерфейса пользователя, а не угрозой безопасности, и не спешит выпускать исправление.

Как сообщает The Register: метод атаки простой, но эффективный. Он основан на использовании вредоносных файлов ярлыков .LNK, содержащих команды для загрузки вредоносного ПО. Хотя ярлыки, казалось бы, ссылались на законные файлы или исполняемые файлы, они тайно включали дополнительные инструкции для загрузки или распаковки и попытки запуска вредоносных полезных нагрузок. Обычно целевой объект ярлыка и аргументы командной строки были четко видны в Windows, что делало подозрительные команды легко обнаруживаемыми.

Но, как сообщила инициатива Zero Day Initiative Trend Micro, группы, поддерживаемые Северной Кореей, добавляли в аргументы командной строки мегабайты пробелов, скрывая фактические команды из виду в интерфейсе пользователя.

Trend Micro сообщил об этой проблеме Microsoft в сентябре прошлого года и предполагает, что она используется с 2017 года. Сообщается, что было найдено почти 1000 измененных файлов .LNK, но предполагается, что фактическое количество атак могло быть выше.

«Это одна из многих уязвимостей, которые используют злоумышленники, но эта уязвимость не исправлена, и именно поэтому мы сообщили о ней как о нулевом дне», - сказал Дастин Чайлдс (Dustin Childs), руководитель отдела осведомленности об угрозах в инициативе Zero Day. «Мы сообщили Microsoft, но они считают это проблемой интерфейса пользователя, а не проблемой безопасности. Поэтому она не соответствует их критериям для выпуска обновления безопасности, но может быть исправлена ​​в более поздней версии операционной системы или чем-то подобным».

После детального изучения вредоносных образцов .LNK компания по кибербезопасности сообщила, что подавляющее большинство этих файлов принадлежали государственным спонсорам (около 70%), использующим их для шпионажа или кражи информации. Еще 20% атак были направлены на получение финансовой выгоды. Среди групп государственных спонсоров 46% атак исходило из Северной Кореи, в то время как Россия, Иран и Китай каждый составляли около 18% активности.