Microsoft a silencieusement « atténué » une vulnérabilité Windows LNK de haute gravité exploitée par plusieurs groupes de piratage soutenus par l’État et la cybercriminalité lors d’attaques zero-day.
Répertoriée sous le numéro CVE-2025-9491, cette faille de sécurité permet aux attaquants de masquer des commandes malveillantes dans les fichiers LNK de Windows, qui peuvent être utilisées pour déployer des logiciels malveillants et obtenir de la persistance sur des appareils compromis. Cependant, les attaques nécessitent une interaction de l’utilisateur pour réussir, car elles impliquent d’inciter les victimes potentielles à ouvrir un lien Shell Windows malveillant (.fichiers lnk).
Les auteurs de menaces distribuent ces fichiers dans des archives ZIP ou autres, car les plates-formes de messagerie bloquent généralement .pièces jointes lnk en raison de leur nature risquée.
La vulnérabilité réside dans la façon dont Windows gère.Fichiers LNK, permettant aux acteurs de la menace d’exploiter la façon dont le système d’exploitation les affiche pour échapper à la détection et exécuter du code sur des périphériques vulnérables à l’insu de l’utilisateur en remplissant le champ cible dans Windows .Fichiers LNK avec des espaces pour masquer les arguments de ligne de commande malveillants.
Cela garantit que les propriétés du champ cible du fichier affichent uniquement les 260 premiers caractères en raison des espaces ajoutés, de sorte que les utilisateurs ne peuvent pas voir la commande réelle exécutée lorsque le fichier LNK est double-cliqué.
Comme les analystes des menaces de Trend Micro l’ont découvert en mars 2025, le CVE-2025-9491 était déjà largement exploité par 11 groupes parrainés par l’État et gangs de cybercriminalité, notamment Evil Corp, Bitter, APT37, APT43 (également connu sous le nom de Kimsuky), Mustang Panda, SideWinder, RedHotel, Konni et d’autres.
»Diverses charges utiles et chargeurs de logiciels malveillants tels que Ursnif, Gh0st RAT et Trickbot ont été suivis dans ces campagnes, les plates-formes MAAS (malware-as-a-service) compliquant le paysage des menaces », a déclaré Trend Micro.
Arctic Wolf Labs a également signalé en octobre que le groupe de piratage Mustang Panda soutenu par l’État chinois exploitait cette vulnérabilité Windows dans des attaques zero-day ciblant des diplomates européens en Hongrie, en Belgique et dans d’autres pays européens pour déployer le cheval de Troie d’accès à distance PlugX (RAT) malware.
Microsoft pousse un »patch » silencieux
Microsoft a déclaré à Breachtrace en mars qu’il « envisagerait de remédier » à cette faille zero-day, même s’il ne « respectait pas la barre pour une maintenance immédiate. »
Il a également ajouté dans un avis de novembre qu’il ne considérait pas cela comme une vulnérabilité « en raison de l’interaction de l’utilisateur impliquée et du fait que le système avertit déjà les utilisateurs que ce format n’est pas fiable », même si les auteurs de menaces pourraient toujours exploiter une marque de la vulnérabilité de contournement du Web pour contourner ces avertissements et assurer le succès de leurs attaques.
Malgré cela, comme l’a constaté Mitja Kolsek, PDG d’ACROS Security et cofondateur de 0patch, Microsoft a silencieusement modifié les fichiers LNK dans les mises à jour de novembre dans un effort apparent pour atténuer la faille CVE-2025-9491. Après l’installation des mises à jour du mois dernier, les utilisateurs peuvent désormais voir tous les caractères dans le champ cible lors de l’ouverture des propriétés des fichiers LNK, et pas seulement les 260 premiers.
Cependant, ce n’est pas nécessairement un correctif car les arguments malveillants ajoutés aux fichiers LNK ne seront pas supprimés et l’utilisateur ne reçoit aucun avertissement lors de l’ouverture de fichiers LNK avec une chaîne cible dépassant 260 caractères
Un porte-parole de Microsoft n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt aujourd’hui pour confirmer si ce changement est une tentative d’atténuer la vulnérabilité.
Correctifs non officiels disponibles
Jusqu’à ce que Microsoft corrige adéquatement cette faille de sécurité, ACROS Security a publié un correctif non officiel via sa plate-forme de micropatch 0Patch, qui limite toutes les chaînes cibles de raccourci à 260 caractères et avertit les utilisateurs du danger potentiel d’ouvrir des raccourcis avec des chaînes cibles inhabituellement longues.
« Notre correctif casserait les plus de 1000 raccourcis malveillants identifiés par Trend Micro pour tous les utilisateurs ciblés, tandis que le correctif de Microsoft ne permettrait qu’aux plus prudents parmi ces utilisateurs – qui ne lanceraient probablement pas de tels raccourcis de toute façon – de voir l’intégralité de la chaîne de commandes malveillante », a déclaré Kolsek.
« Même si des raccourcis malveillants pouvaient être créés avec moins de 260 caractères, nous pensons que perturber les attaques réelles détectées dans la nature peut faire une grande différence pour les personnes ciblées. »
Le correctif non officiel CVE-2025-9491 d’ACROS Security est disponible pour les utilisateurs 0patch avec des comptes PRO ou Enterprise qui utilisent des versions de Windows qui ont atteint la fin de la prise en charge (Windows 7 à Windows 11 22H2 et Windows Server 2008 R2 à Windows Server 2022).