A Microsoft anunciou a implementação de atualizações para corrigir uma vulnerabilidade crítica em arquivos de atalho do tipo LNK no Windows. Essa vulnerabilidade já havia sido explorada em ataques por grupos hackers e patrocinados por estados estrangeiros. Conhecida como CVE-2025-9491, a falha permite que comandos maliciosos sejam ocultados dentro desse tipo de arquivo, possibilitando sua execução sem que o usuário perceba.
Os ataques que exploram essa vulnerabilidade dependem da interação do usuário, que precisa abrir o arquivo LNK. Devido ao risco, esses arquivos não podem ser diretamente enviados por e-mail. Por essa razão, cibercriminosos frequentemente usam arquivos compactados, como ZIP, para distribuir os arquivos LNK maliciosos como anexos em mensagens de e-mail.
A falha aproveita a maneira como o Windows gerencia os arquivos LNK. Atacantes conseguem manipular a exibição dos atalhos, ocultando comandos maliciosos no campo Target. Esse campo restringe a exibição a 260 caracteres, tornando os comandos maliciosos invisíveis para o usuário, que abrem o atalho sem suspeitas.
Relatórios da empresa de segurança Trend Micro, revelados em março deste ano, indicaram que a vulnerabilidade estava em uso por pelo menos 11 grupos criminosos. Entre eles, destacam-se o Evil Corp, Bitter, APT73, APT43 (Kimsuky), MustangPanda, SideWinder, RedHotel e Konni. Um dos casos documentados envolveu ataques direcionados a diplomatas na Bélgica e Hungria, utilizando trojans para acesso remoto no intuito de espionar funcionários públicos.
Embora a Microsoft tenha informado estar desenvolvendo soluções para essa falha, a empresa inicialmente não a categorizou como uma vulnerabilidade grave, já que depende de interação do usuário. Em uma atualização efetuada em novembro, a Microsoft alterou o Windows para exibir todos os caracteres do campo Target ao visualizar as propriedades do arquivo LNK. Contudo, essa modificação apenas facilita a identificação para usuários atentos, não removendo os comandos maliciosos caso estejam presentes.
Paralelamente, a empresa de cibersegurança ACROS Security disponibilizou uma correção não-oficial por meio da plataforma 0Patch, a qual limita todas as strings de atalhos a 260 caracteres, alertando usuários sobre possíveis ameaças. Mitja Kolsek, CEO da ACROS e cofundador da 0Patch, argumentou que sua solução é mais efetiva que a da Microsoft, já que protege também os usuários menos experientes em informática.
Este patch está acessível para usuários com contas PRO ou Enterprise no 0Patch, que utilizam versões do Windows em suporte limitado, abrangendo do Windows 7 ao Windows 11 22H2, além de versões do Server 2008 R2 ao Server 2022.
