根据ACROS Security旗下0patch项目披露,微软已通过2025年11月"补丁星期二"更新,悄然修复了一个自2017年起被多个威胁组织利用的安全漏洞。该漏洞被标识为CVE-2025-9491(CVSS评分:7.8/7.0),属于Windows快捷方式(LNK)文件用户界面解析漏洞,可导致远程代码执行。
美国国家标准与技术研究院(NIST)国家漏洞数据库(NVD)描述称:"该漏洞存在于.LNK文件处理过程中。精心构造的.LNK文件数据会导致文件中的危险内容在通过Windows用户界面检查时不可见。攻击者可利用此漏洞在当前用户上下文环境中执行代码。"
漏洞利用手法分析
攻击者通过特殊构造的快捷方式文件,利用各种"空白"字符隐藏恶意命令,使用户在查看文件属性时无法察觉实际执行的恶意操作。为诱骗用户执行,攻击者通常将这些文件伪装成无害文档。
该漏洞细节最早于2025年3月由趋势科技Zero Day Initiative(ZDI)披露。数据显示,来自伊朗、朝鲜和俄罗斯的11个国家级黑客组织已将其用于数据窃取、间谍活动和金融犯罪,部分攻击活动可追溯至2017年。该漏洞同时被追踪为ZDI-CAN-25373。
微软的应对策略
微软当时向The Hacker News表示,该漏洞未达到紧急修复标准,将在未来版本中考虑修复。公司同时指出,Outlook、Word、Excel、PowerPoint和OneNote已默认阻止LNK文件格式,用户尝试打开此类文件时会收到"不要打开未知来源文件"的警告。
2025年同月,HarfangLab报告发现网络间谍组织XDSpy利用该漏洞分发基于Go语言的XDigo恶意软件,攻击目标为东欧政府机构。同年10月下旬,Arctic Wolf监测到相关威胁组织针对欧洲外交和政府实体发起攻击,通过该漏洞投递PlugX恶意软件。
漏洞修复方案
微软最终发布的静默补丁通过属性对话框完整显示目标命令及其参数(无论长度)来解决该问题。而0patch的微补丁则采用不同方案:当用户尝试打开目标字段超过260个字符的LNK文件时显示警告。
0patch技术团队指出:"虽然恶意快捷方式可以构造为少于260个字符,但我们认为阻断实际检测到的攻击对受害者意义重大。"微软此前曾表示,由于需要用户交互且系统已提示该格式不受信任,公司不认为这是严格意义上的漏洞。