طبق گزارش 0patch شرکت ACROS Security، مایکروسافت در سکوت یک نقص امنیتی را که از سال ۲۰۱۷ توسط چندین عامل تهدید مورد سوءاستفاده قرار گرفته بود، بهعنوان بخشی از بهروزرسانیهای ماه نوامبر ۲۰۲۵ این شرکت، برطرف کرده است.
آسیبپذیری مورد بحث CVE-2025-9491 (امتیاز CVSS: 7.8/7.0) است که بهعنوان یک آسیبپذیری LNK توصیف شده است که میتواند منجر به اجرای کد از راه دور شود.
دادههای دستکاریشده در یک فایل .LNK میتواند باعث شود محتوای خطرناک در فایل برای کاربری که فایل را از طریق رابط کاربری ارائهشده توسط ویندوز بررسی میکند، مخفی باشد. یک مهاجم میتواند از این آسیبپذیری برای اجرای کد در زمینهی کاربر فعلی استفاده کند.
به عبارت دیگر، این فایلهای میانبر به گونهای ساخته شدهاند که مشاهده ویژگیهای آنها در ویندوز، دستورات مخرب اجرا شده توسط آنها را با استفاده از کاراکترهای مختلف “whitespace” از دید کاربر پنهان میکند. برای اجرای آنها، مهاجمان میتوانند فایلها را به عنوان اسناد بیضرر مخفی کنند.
جزئیات این نقص برای اولین بار در مارس 2025 آشکار شد و مشخص شد که این آسیب پذیری توسط چندین گروه مهاجم مختلف به عنوان بخشی از حملات سرقت دادهها، جاسوسی و کمپینهای با انگیزه مالی مورد سوء استفاده قرار گرفته است که برخی از آنها به سال 2017 برمیگردند. این نقض همچنین با عنوان ZDI-CAN-25373 ردیابی میشود.
در آن زمان، مایکروسافت اعلام کرد که این نقض، الزامات رفع فوری را برآورده نمیکند و در نسخههای آینده، رفع آن را بررسی خواهد کرد. همچنین اشاره کرد که فرمت فایل LNK در Outlook، Word، Excel، PowerPoint و OneNote مسدود شده است، در نتیجه هرگونه تلاش برای باز کردن چنین فایلهایی، هشداری به کاربران مبنی بر عدم باز کردن فایلهای ارسالی از منابع ناشناس ارسال میشود.
پس از آن، گزارشی از HarfangLab نشان داد که این نقض توسط یک گروه جاسوسی سایبری معروف به XDSpy برای توزیع یک بدافزار مبتنی بر Go به نام XDigo به عنوان بخشی از حملاتی که نهادهای دولتی اروپای شرقی را هدف قرار میدادند، در همان ماهی که این آسیب پذیری به صورت عمومی افشا شد، مورد سوءاستفاده قرار گرفته است.
سپس، در اواخر اکتبر ۲۰۲۵، این مشکل برای سومین بار پس از آنکه Arctic Wolf یک کمپین تهاجمی را گزارش کرد که در آن عوامل تهدید از این نقص در حملات علیه نهادهای مختلف دولتی استفاده کرده و بدافزار PlugX را توزیع میکردند، مطرح شد.
این تحول باعث شد مایکروسافت یک راهنمای رسمی در مورد CVE-2025-9491 صادر کند و تصمیم خود را برای عدم اصلاح آن تکرار کند و تأکید کند که آن را “به دلیل تعامل کاربر و این واقعیت که سیستم از قبل به کاربران هشدار میدهد که این قالب غیرقابل اعتماد است” یک آسیبپذیری نمیداند.
این آسیبپذیری فقط مربوط به پنهان کردن بخش مخرب دستور از فیلد Target نیست، بلکه این واقعیت است که یک فایل LNK “به آرگومانهای Target اجازه میدهد تا یک رشته بسیار طولانی (دهها هزار کاراکتر) باشند، اما کادر Properties فقط ۲۶۰ کاراکتر اول را نشان میدهد و بقیه کاراکترها را بی سر و صدا نمایش نمیدهد.
این همچنین بدان معنی است که یک عامل مخرب یک فایل LNK ایجاد می کند که میتواند یک دستور طولانی را اجرا کند و فقط ۲۶۰ کاراکتر اول آن برای کاربری که Properties آن را مشاهده کرده است نمایش داده شود. بقیه رشته فرمان به سادگی کوتاه میشود. طبق گفته مایکروسافت، ساختار فایل از لحاظ تئوری امکان رشتههایی تا ۳۲ هزار کاراکتر را فراهم میکند.
وصله منتشر شده توسط مایکروسافت با نمایش کل دستور Target به همراه آرگومانها در پنجره Properties، صرف نظر از طول آن، به این مشکل رسیدگی میکند. با این حال، این رفتار به این احتمال بستگی دارد که فایلهای میانبر با بیش از ۲۶۰ کاراکتر در فیلد Target آنها وجود داشته باشد.
کارشناسان امنیتی مایکروسافت به کاربران توصیه می کنند که بهعنوان یک اقدام امنیتی، هنگام دانلود فایلها از منابع ناشناخته، همانطور که در هشدارهای امنیتی ذکر شده است، احتیاط کنند. این هشدارها برای شناسایی و هشدار به کاربران در مورد فایلهای بالقوه مضر طراحی شدهاند.
منبع: