微软拒绝修补在全球间谍活动中被滥用的严重Windows快捷方式漏洞！

多年来，至少有11个与朝鲜、伊朗、俄罗斯等民族国家有关的黑客组织积极利用Windows的一个新零日漏洞。尽管有证据表明早在2017年就存在大规模攻击，但微软拒绝发布安全补丁，称该问题“未达到服务标准”。

该漏洞被趋势科技追踪为ZDI-CAN-25373，攻击者可通过将命令隐藏在快捷方式(.lnk)文件中来在Windows系统上执行恶意代码。当趋势科技通过其Zero Day Initiative漏洞赏金计划提交此漏洞的证据时，微软将其归类为低严重性，并表示不会立即通过安全更新解决此问题。该漏洞尚未被分配CVE标识符。

趋势科技的研究人员在分享的博客文章中表示：“我们发现了近一千个利用ZDI-CAN-25373的Shell Link(.lnk)样本；然而，利用尝试的总数可能要高得多。”

该漏洞利用了Windows显示快捷方式文件信息的方式。当用户右键单击文件查看其属性时，Windows无法显示文件中嵌入的隐藏恶意命令。

黑客通过在快捷方式文件的命令行参数中插入大量空格或其他空白字符来实现此目的。这些不可见的字符有效地将恶意命令推到Windows界面可见范围之外，使文件对用户来说无害。

更令人担忧的是，包括Earth Manticore(APT37)和Earth Imp(Konni)在内的一些朝鲜威胁行为者创建了“超大”快捷方式文件，大小高达70MB，进一步增加了检测难度。这种技术已被证明非常有效，以至于多年来各种受国家支持的黑客组织都在其攻击方法中利用了它。

该安全公司的分析发现，利用此漏洞的受国家支持的攻击者中，近一半来自朝鲜，其余团体与伊朗、俄罗斯等有关。这些活动中约70%专注于间谍活动和信息盗窃，而超过20%则旨在获取经济利益。

研究人员表示，各行各业的组织都面临着高风险，其中包括：
1. 政府
2. 能源公司
3. 金融机构
4. 军事和国防
5. 电信提供商。

虽然大多数受害者都来自北美，但研究人员注意到攻击遍布欧洲、亚洲、南美和澳大利亚。另一方面，行业领袖批评微软没有解决如此严重的漏洞。

位于马萨诸塞州伯灵顿的应用程序安全解决方案提供商Black Duck的首席顾问、网络和红队实践总监托马斯·理查兹(Thomas Richards)对微软的决定表示惊讶。

“被积极利用的漏洞通常会在短时间内得到修补。鉴于国家团体正在积极利用该漏洞，微软在这种情况下拒绝发布安全补丁的情况并不常见，”托马斯说。“微软应该立即解决该漏洞，以管理软件风险并防止全球系统受到进一步攻击和破坏。”

位于亚利桑那州斯科茨代尔的综合证书生命周期管理(CLM)提供商Sectigo的高级研究员Jason Soroko对微软的决定并不感到惊讶。

Jason解释道：“利用该漏洞需要操纵Windows显示快捷方式文件的方式，即用空格填充命令行参数，如果此方法需要一系列特定条件或日常情况下不太可能出现的用户交互，微软可能会认为它的风险较低。”“如果要做到这一点需要攻击者使用端点入侵来提升权限，我看到微软过去也表达过类似的观点。”

这并不是ZDI第一次就安全漏洞问题批评微软。2024年7月，ZDI指责微软未能在其补丁星期二更新中给予他们荣誉，并批评其在漏洞披露方面缺乏透明度。

另一位研究人员，Check Point的Haifei Li也独立发现了同样的漏洞，但他也没有承认，这进一步凸显了微软缺乏沟通。

尽管如此，微软选择不发布针对此漏洞的补丁，导致数百万用户面临网络安全威胁，并使组织面临风险，因为国家黑客会继续利用该漏洞。因此，为了保持安全，请使用强大的EDR解决方案来检测和阻止恶意(.lnk)文件。监控网络流量以查找入侵迹象，培训用户避免可疑链接，并及时了解安全警报。