Microsoft: Masalah spoofing LNK Windows baru bukanlah kerentanan

Hari ini, di Wild West Hackin’ Fest, peneliti keamanan Wietze Beukema mengungkapkan beberapa kerentanan dalam file pintasan Windows LK yang memungkinkan penyerang menyebarkan muatan berbahaya.

beukema mendokumentasikan empat teknik yang sebelumnya tidak diketahui untuk memanipulasi file pintasan Windows LNK untuk menyembunyikan target jahat dari pengguna yang memeriksa properti file.

Pintasan LNK diperkenalkan dengan Windows 95 dan menggunakan format biner kompleks yang memungkinkan penyerang membuat file menipu yang tampak sah dalam dialog properti Windows Explorer tetapi menjalankan program yang sepenuhnya berbeda saat dibuka.

Itu masalah yang ditemukan mengeksploitasi inkonsistensi dalam cara Windows Explorer memprioritaskan jalur target yang bertentangan yang ditentukan di beberapa struktur data opsional dalam file pintasan.

Varian yang paling efektif menggunakan karakter jalur Windows terlarang, seperti tanda kutip ganda, untuk membuat jalur yang tampaknya valid namun secara teknis tidak valid, menyebabkan Explorer menampilkan satu target saat menjalankan target lainnya, sementara target lainnya menggunakan nilai LinkTargetIDList yang tidak sesuai untuk mengeksekusi jalur selain yang ditampilkan di bidang LinkInfo.

“Hal ini mengakibatkan situasi aneh di mana pengguna melihat satu jalur di bidang Target, namun saat dijalankan, jalur yang lain dieksekusi. Karena bidang tersebut dinonaktifkan, dimungkinkan juga untuk “menyembunyikan” argumen baris perintah apa pun yang disediakan,” kata Beukema.

Teknik paling kuat yang diidentifikasi melibatkan manipulasi struktur EnvironmentVariableDataBlock dalam file LNK. Dengan menetapkan hanya bidang target ANSI dan membiarkan bidang Unicode kosong, penyerang dapat menampilkan target palsu seperti “invoice.pdf” di jendela properti saat sebenarnya menjalankan PowerShell atau perintah jahat lainnya.

“Membuka LNK akan mengeksekusi target “sebenarnya” dengan segera, tidak perlu membukanya dua kali. Selain itu, karena dalam kasus ini target palsu ada di TargetIdList dan target sebenarnya di EnvironmentVariableDataBlock, target sebenarnya dapat menggunakan variabel lingkungan,” jelas Beukema.

“Program/file/direktori target sepenuhnya dipalsukan,” dan “argumen baris perintah apa pun disembunyikan,” peneliti juga mencatat, yang membuat pendeteksian menjadi sangat sulit bagi pengguna.

Hal ini dimungkinkan karena, seperti yang dikatakan Beukema, Windows Explorer akan memperlakukan semua pintasan LNK yang salah format ini dengan memaafkan, menampilkan informasi palsu daripada menolak file yang tidak valid.

Peneliti juga telah merilis “tautan-itu-up,” rangkaian alat sumber terbuka yang menghasilkan pintasan LNK Windows menggunakan teknik ini untuk pengujian dan dapat mengidentifikasi file LNK yang berpotensi berbahaya dengan memprediksi apa yang ditampilkan Explorer versus apa yang sebenarnya dijalankan.

MSRC: Bukan kerentanan

Ketika Beukema mengajukan masalah EnvironmentVariableDataBlock ke Microsoft Security Response Center pada bulan September (VULN-162145), Microsoft menolak untuk mengklasifikasikannya sebagai kerentanan keamanan, dengan alasan bahwa eksploitasi memerlukan interaksi pengguna dan tidak melanggar batas keamanan.

“Teknik ini tidak memenuhi standar untuk segera diservis berdasarkan pedoman klasifikasi tingkat keparahan kami karena memerlukan penyerang untuk mengelabui pengguna agar menjalankan file berbahaya,” kata juru bicara Microsoft kepada BleepingComputer ketika ditanya apakah perusahaan berencana untuk mengatasi kelemahan tersebut.

“Microsoft Defender memiliki deteksi untuk mengidentifikasi dan memblokir aktivitas ancaman ini, dan Smart App Control memberikan lapisan perlindungan tambahan dengan memblokir file berbahaya dari Internet. Sebagai praktik keamanan terbaik, kami sangat menganjurkan pelanggan untuk memperhatikan peringatan keamanan dan menghindari membuka file dari sumber yang tidak dikenal.”

Microsoft juga mencatat bahwa Windows mengidentifikasi file pintasan (.lnk) sebagai file yang berpotensi berbahaya dan, ketika mencoba membuka file .lnk yang diunduh dari Internet, secara otomatis memicu peringatan keamanan yang menyarankan pengguna untuk tidak membuka file dari sumber yang tidak dikenal. Microsoft sangat menyarankan untuk memperhatikan peringatan ini.

Namun, Beukema menambahkan bahwa “ada alasan mengapa penyerang masih menyukai file LNK – pengguna dengan cepat mengklik peringatan semacam ini. Jika tidak, CVE-2025-9491 juga tidak akan ‘sukses’ seperti sebelumnya.”

CVE-2025-9491, kerentanan keamanan yang disebutkan oleh peneliti keamanan, serupa dengan masalahnya Beukema menemukan dan dapat dieksploitasi untuk menyembunyikan argumen baris perintah dengan menggunakan spasi yang berlebihan. Kelompok kejahatan dunia maya dan kelompok peretas yang didukung negara dari Korea Utara, Iran, Rusia, dan Tiongkok telah menyalahgunakan kelemahan keamanan ini selama bertahun-tahun dalam serangan zero-day.

Meskipun awalnya Microsoft mengatakan bahwa CVE-2025-9491 tidak melanggar batas keamanan dan menolak untuk memperbaiki masalah tersebut, namun diam-diam mengubah file LNK pada Juni 2025 dalam upaya nyata untuk memitigasi kerentanan yang dieksploitasi secara aktif ini.

Seperti yang diungkapkan oleh analis ancaman Trend Micro pada bulan Maret 2025, CVE-2025-9491 telah dieksploitasi secara luas setidaknya oleh 11 kelompok dan geng kejahatan dunia maya yang disponsori negaratermasuk Evil Corp, Bitter, APT37, APT43 (juga dikenal sebagai Kimsuky), Mustang Panda, SideWinder, RedHotel, Konni, dan lainnya.

Perusahaan keamanan siber Arctic Wolf juga melaporkan pada bulan Oktober bahwa kelompok peretas Mustang Panda yang didukung negara Tiongkok juga melakukan hal tersebut mengeksploitasi kerentanan Windows ini dalam serangan zero-day yang menargetkan diplomat Eropa di Hongaria, Belgia, dan negara-negara Eropa lainnya untuk menyebarkan malware plugX remote access trojan (RAT).