A Microsoft corrigiu silenciosamente uma vulnerabilidade grave nos arquivos LNK do Windows, que vinha sendo explorada por diversos grupos de hackers patrocinados por governos e organizações de cibercrime em ataques de dia zero. UM falha identificado como CVE-2025-9491 (pontuação CVSS 7.0) é uma vulnerabilidade de representação incorreta da interface do usuário que permite que agentes maliciosos ocultem comandos maliciosos em arquivos Windows Shell Link (.lnk), possibilitando a implantação de malware e o estabelecimento de persistência em sistemas comprometidos. Os ataques interagem com a interação do usuário, mas a exploração da vulnerabilidade tornou-se generalizada, visto que hackers conseguiram enganar as vítimas para que abrissem arquivos LNK maliciosos, geralmente distribuídos em arquivos ZIP.
Leia também
Microsoft corrige 63 falhas no Patch Tuesday
Ransomware para Linux está rodando no Windows
A vulnerabilidade é causada pela forma como o Windows processa arquivos .LNK, permitindo que os caçadores obtenham o campo “Destino” com espaços em branco para ocultar argumentos maliciosos da linha de comando além dos primeiros 260 caracteres visíveis nas propriedades do arquivo. Isso garante que, quando os usuários operarem o arquivo por meio da interface padrão do Windows, eles vejam apenas conteúdo aparentemente inofensivo, enquanto os comandos maliciosos ocultos são invisíveis. Quando uma vez clicada duas vezes no arquivo LNK, o comando oculto é executado em segundo plano sem o conhecimento do usuário.
Em março de 2025, pesquisadores de segurança da Trend Micro descobriram que uma falha já estava sendo amplamente explorada por pelo menos 11 grupos patrocinados por estados e quadrilhas de crimes cibernéticos, incluindo atores notórios como Evil Corp, Bitter, APT37, APT43 (também conhecido como Kimsuky), Mustang Panda, SideWinder, RedHotel, Konni e o grupo chinês UNC6384, apoiado pelo Estado.
Os ataques ocorreram como alvos diplomáticos europeus em Hungria, Bélgica, Itália, Países Baixos e departamentos de aviação do governo sérvio entre setembro e outubro de 2025.
Inicialmente, a Microsoft se decidiu a concordar com a falha, alegando que ela não “atendia aos requisitos para correção imediata”. Mitja Kolsek, CEO da ACROS Security e cofundador do 0patch, descobriu que a Microsoft modificou silenciosamente o tratamento de arquivos LNK nas atualizações de novembro de 2025, permitindo que os usuários agora vejam todos os caracteres no campo ao abrir as propriedades do arquivo LNK, e não apenas os primeiros 260. Essa alteração parece ser uma tentativa de mitigar a vulnerabilidade, embora não seja uma correção completa, já que objetivos origem Destinos incluídos a arquivos LNK vindos automaticamente e os usuários não são automaticamente e os usuários não receba nenhum aviso ao abrir arquivos com strings de Destino que excedam 260 caracteres.
Informações e Sugestões do Gemini para Mitigação
| Tática MITRE ATT&CK Utilizada | Técnica (ID) | IoC/TTP Específico | Regra de SIEM Sugerida |
| Acesso Inicial / Execução | T1566 (Phishing) / T1204.002 (Execução por Usuário) | Distribuição em arquivos CEP contém o atalho .LNK para enganar a vítima e iniciar a execução. |
Regras 1: Alerta sobre um criação e/ou execução de arquivos .LNK desempacotados de um arquivo ZIP, especialmente se ocorrerem em locais atípicos (por exemplo, Transferênciasanexos de e-mail). |
| Execução (TA0002) | T1203 (Exploração Cliente) / T1059 (Intérprete de Linha de Comando) | A exploração usa a vulnerabilidade (CVE-2025-9491) pará ocultar argumentos fraudulentos na linha de comando do campo “Destino” que excede 260 caracteres, executando-os quando o arquivo é clicado. |
Regra 2 (Comportamental do COI): Alerta sempre que a linha de comando de execução de um arquivo .LNK sem sistema (explorer.exe como processo pai) ultrapassar um limite de caracteres (por exemplo, 260 caracteres) e conter cordas de execução como powershell -e, cmd.exe /cou comandos de download e execução. |
| Execução / Persistência | T1105 (Transferência de Arquivo de Rede) / T1547.001 (Inicialização) | O comando oculto é usado para implantar malware (baixar o carga útil final) e estabelecer persistência sem sistema. | Regras 3: Alerta sobre um criação de arquivos apresentados em diretórios de persistência comuns (por exemplo, AppDataRoaming, Temp, Pastas de inicialização) seguida por uma conexão de rede de saída incomum para um servidor C2 (o carga útil baixando). |
| Defesa Evasão (TA0005) | T1027 (arquivos ou informações ofuscadas) | O campo de Destino do LNK é preenchido com espaços em branco pára ocultar o comando malicioso da inspeção visual. | Regras 4: Implemente uma regra que sinalize a execução de qualquer processo (através .LNK ou não) que utilize uma linha de comando com um número excessivo de caracteres de espaço em branco ou preenchimento não funcional. |
