Преките пътища – шорткътите (LNK файловете) във Windows са обозначени

Преките пътища – шорткътите (LNK файловете) във Windows са обозначени с извити стрелки. Често ги възприемаме като някакъв фонов звук и не се замисляме какво в действителност вършат те, с изключение на да отварят приложения. Всъщност има голяма разлика сред това, което вероятно си мислите, че вършат директните пътища, и това, на което са способни в реалност.

Те могат да бъдат извънредно ефикасни. Преките пътища могат да извършват команди, да зареждат външни DLL файлове и да започват скрити скриптове – всичко това, без потребителят да разбере. Тази еластичност ги трансформира в комфортен и в същото време рисков инструмент за някои от най-упоритите и лесни офанзиви против Windows.

Какво прави LNK файловете освен това от директни пътища

Как един „ шорткът “ може да задейства скрити команди.

Въпреки че LNK файлът нормално съдържа пътя до дадена стратегия, той може също по този начин да съдържа причини от командния ред, да указва стратегии за осъществяване и да извиква систематични принадлежности като PowerShell или cmd.exe.

Атакуващите могат да изберат познати икони, да им дадат имена като „ Report.pdf.lnk “ и в някои случаи да предотвратят появяването на рисковите детайли в свойствата на файла, като добавят командните си низове с бели шпации. Това значи, че даже когато сте изправени пред скрита офанзива, може да предположите, че отваряте единствено безопасен документ.

Прозорецът със свойствата на файла не постоянно демонстрира цялостните команди. Той демонстрира единствено част от целевия път – нормално до 255 признака – макар че един LNK файл може да съдържа доста повече (до 4096 символа). Това затруднява елементарния човек да забележи злонамерените причини. Тази дарба за прикриване на осъществяването е това, което прави LNK файловете изненадващо мощен вектор за нападателите.

Защо тази накърнимост притегля толкоз съществено внимание

Мащабите и разпространяването в действителния свят.

CVE-2025-9491 е накърнимост, открита в LNK файлове, която разрешава на атакуващите да скрият редица команди в шорткъта. Тази техника се употребява от 2017 година насам от голям брой авангардни групи за непрекъснати закани (advanced persistent threat, APT). CIRT.GY оповестява за към 1000 злонамерени LNK файла, основани, с цел да употребяват точно тази накърнимост.

Това е освен това от нишов хакерски или научен проблем. Както оповестява изданието Cyber Insider, тя се е трансформирала в действителен, спонсориран от страните инструмент, като групи от Иран, Русия, Северна Корея и Китай се възползват от нея за кражба на данни и шпионаж. Въпреки че тази накърнимост е дейна от години, Microsoft към момента не я е отстранила.

По какъв метод хакерите употребяват LNK експлойтите в актуалния кибершпионаж

От spear-phishing до осъществяване с нулев клик.

Един от значимите LNK експлойти, за които оповестява Cyber Press, е дело на групата XDSpy. Тя е направила огромни фишинг офанзиви с LNK файлове против държавни структури в Източна Европа. Те са вграждали команди на PowerShell, допълнени с празни полета – с интервали; тези команди са се изпълнявали незабавно след задействането на директния път.

Тези експлойти бяха извънредно рискови, защото LNK файлът не просто стартираше файл, а задействаше законен осъществим файл, подписан от Microsoft. На собствен ред законният осъществим файл задействаше редом злоумишлен DLL, който инсталираше „ потребния товар “ XDigo, който правеше фотоси на екрана, улавяше натискания на клавиши и крадеше данни.

Налице е и опасността UNC6384, за която Cybersecurity News оповестява, че е ориентирана към европейските дипломати. Атаката също по този начин подплатява командите на PowerShell с бели шпации, като ги скрива от засичане, и доставя троянеца за далечен достъп PlugX.

Всички тези офанзиви демонстрират, че потреблението на LNK файловете е зрял и необятно употребен способ за снабдяване на прикрит злотворен програмен продукт с непрекъснат достъп.

Защо Microsoft не е изцяло отстранила казуса

Въпреки че тази накърнимост на LNK файловете съставлява сериозна опасност, тя не е изцяло отстранена от Microsoft. Всъщност, съгласно Help Net Security, Microsoft е решила, че тази накърнимост „ не дава отговор на условията за сервизно обслужване “.

Важно е обаче да се означи, че директните пътища са неразделна част от операционната система и са надълбоко вградени в Windows. Начинът, по който те започват стратегиите с причини, е естествена част от държанието на операционната система и отстраняването на този развой без нарушение на функционалността би било доста мъчно.

Microsoft разчита на разкриване на заканите, а не на цялостна смяна на кода. Според Forbes позицията на Microsoft е, че Microsoft Defender може да алармира за тези злонамерени директни пътища, а Smart App Control може да ги блокира. Трябва обаче да се доверите, че откриването е 100% надеждно, а и този метод в огромна степен разчита на държанието на потребителите.

Това, което си остава непроменяемо, е, че тази накърнимост не е просто бъг, който може да се в профил просто ей по този начин, а риск, който е част от дизайна на операционната система, и той няма да изчезне, до момента в който LNK файловете могат да извършват скрити команди.

Какво можете да извършите през днешния ден, с цел да се отбраните

Практически стъпки за потребителите и организациите.

Ако Microsoft не успее да се оправи изцяло с този проблем, би трябвало, доколкото е допустимо, сами да предприемете ограничения за отбрана. Комбинацията от зоркост и настройване остава най-хубавият ви късмет. Трябва да бъдете внимателни във връзка с LNK файловете, изключително когато източникът е обезсърчителен или когато те идват като ZIP атачмънти или посредством линкове/прикачени файлове по е-поща. Не отваряйте линкове или файлове, в случай че не сте ги очаквали – това е нагледно казано 101-то предписание за сигурност на електронната поща.

Втората мярка е ограничение на времето, в което LNK файловете могат да се започват на вашето устройство. В корпоративните среди екипите по сигурността могат да конфигурират AppLocker, Group Policy или спомагателни принадлежности за крайните точки, с цел да лимитират директните пътища от пускане на PowerShell или сходни стратегии. Физическите лица обаче би трябвало да разчитат на някоя настояща антивирусна стратегия. Windows Security знае за тази опасност и би трябвало да е задоволителна.

Но би трябвало да предприемете спомагателна стъпка и да проверявате свойствата на файловете по-внимателно. Разгледайте целевото поле отвън неговата забележима част (прегледайте за вмъкнати шпации и някакви команди след тях, както и за спомагателни аргументи). Актуализирайте операционната си система, само че не си мислете, че актуализацията автоматизирано отстранява тази опасност.

Заплаха, която е по-лесна за превъзмогване, в сравнение с наподобява

Този текст няма за цел да всява боязън. Целта е да се реализира изясненост. Атакуващите разчитат на LNK файловете за реализиране на огромен резултат единствено тъй като множеството хора не се интересуват от тези файлове. Самото схващане на това, какви директни пътища евентуално могат да се употребяват, ви подтиква да се отнасяте към тях по друг метод и ви извежда на една крачка напред.

Въпреки че Microsoft не е отстранила изцяло този риск, с цел да сте в сигурност, би трябвало единствено да сте по-любопитни и по-малко доверчиви към тези файлове.

Оригиналът е на Afam Onyimadu, makeuseof, MUO