Networking

Microsoft “mengurangi” kelemahan Windows LNK yang dieksploitasi sebagai zero-day

74
microsoft-“mengurangi”-kelemahan-windows-lnk-yang-dieksploitasi-sebagai-zero-day
Microsoft “mengurangi” kelemahan Windows LNK yang dieksploitasi sebagai zero-day

Microsoft secara diam-diam telah “mengurangi” kerentanan Windows LNK dengan tingkat keparahan tinggi yang dieksploitasi oleh beberapa kelompok peretas yang didukung negara dan kejahatan dunia maya dalam serangan zero-day.

Dilacak sebagai CVE-2025-9491kelemahan keamanan ini memungkinkan penyerang menyembunyikan perintah berbahaya di dalam file Windows LNK, yang dapat digunakan untuk menyebarkan malware dan mendapatkan persistensi di perangkat yang disusupi. Namun, serangan tersebut memerlukan interaksi pengguna agar berhasil, karena melibatkan menipu calon korban agar membuka file Windows Shell Link (.lnk) yang berbahaya.

Pelaku ancaman mendistribusikan file-file ini dalam bentuk ZIP atau arsip lainnya karena platform email biasanya memblokir lampiran .lnk karena sifatnya yang berisiko.

Kerentanannya terletak pada cara Windows menangani file .LNK, sehingga memungkinkan pelaku ancaman mengeksploitasi cara sistem operasi menampilkannya untuk menghindari deteksi dan mengeksekusi kode pada perangkat yang rentan tanpa sepengetahuan pengguna dengan mengisi bidang Target di file .LNK Windows dengan spasi untuk menyembunyikan argumen baris perintah yang berbahaya.

Hal ini memastikan bahwa properti bidang Target file hanya menampilkan 260 karakter pertama karena penambahan spasi, sehingga pengguna tidak dapat melihat perintah sebenarnya dijalankan ketika file LNK diklik dua kali.

Seperti yang ditemukan oleh analis ancaman Trend Micro pada bulan Maret 2025, CVE-2025-9491 telah dieksploitasi secara luas oleh 11 kelompok dan geng kejahatan dunia maya yang disponsori negaratermasuk Evil Corp, Bitter, APT37, APT43 (juga dikenal sebagai Kimsuky), Mustang Panda, SideWinder, RedHotel, Konni, dan lainnya.

​​”Beragam muatan dan pemuat malware seperti Ursnif, Gh0st RAT, dan Trickbot telah dilacak dalam kampanye ini, dengan platform malware-as-a-service (MaaS) yang memperumit lanskap ancaman,” kata Trend Mikro.

Arctic Wolf Labs juga melaporkan pada bulan Oktober bahwa kelompok peretas Mustang Panda yang didukung negara Tiongkok juga melakukan hal tersebut mengeksploitasi kerentanan Windows ini dalam serangan zero-day yang menargetkan diplomat Eropa di Hongaria, Belgia, dan negara-negara Eropa lainnya untuk menyebarkan malware plugX remote access trojan (RAT).

Argumen jahat tidak muncul di bidang Target (Trend Micro)

Microsoft mendorong “tambalan” diam

​Microsoft mengatakan kepada BleepingComputer pada bulan Maret bahwa mereka akan “mempertimbangkan untuk mengatasi” kelemahan zero-day ini, meskipun mereka tidak “memenuhi standar untuk segera diservis.”

Itu juga ditambahkan dalam a nasihat bulan November bahwa mereka tidak menganggap ini sebagai kerentanan “karena interaksi pengguna yang terlibat dan fakta bahwa sistem telah memperingatkan pengguna bahwa format ini tidak tepercaya,” meskipun pelaku ancaman masih dapat mengeksploitasi kerentanan bypass Mark of the Web untuk menghindari peringatan ini dan memastikan keberhasilan serangan mereka.

Meskipun demikian, seperti yang ditemukan oleh CEO ACROS Security dan salah satu pendiri 0patch Mitja Kolsek, Microsoft diam-diam telah mengubah file LNK dalam pembaruan bulan November sebagai upaya nyata untuk memitigasi kelemahan CVE-2025-9491. Setelah menginstal pembaruan bulan lalu, pengguna kini dapat melihat semua karakter di bidang Target saat membuka Properti file LNK, bukan hanya 260 pertama.

Namun, hal ini belum tentu merupakan perbaikan karena argumen jahat yang ditambahkan ke file LNK tidak akan dihapus, dan pengguna tidak menerima peringatan saat membuka file LNK dengan string Target melebihi 260 karakter

Juru bicara Microsoft tidak dapat dihubungi untuk dimintai komentar ketika dihubungi oleh BleepingComputer hari ini untuk mengonfirmasi apakah perubahan ini merupakan upaya untuk mengurangi kerentanan.

Patch tidak resmi tersedia

Sampai Microsoft mengatasi kelemahan keamanan ini secara memadai, ACROS Security telah merilis patch tidak resmi melalui platform mikropatch 0Patch, yang membatasi semua string target pintasan hingga 260 karakter dan memperingatkan pengguna tentang potensi bahaya membuka pintasan dengan string target yang sangat panjang.

“Patch kami akan mematahkan 1000+ pintasan berbahaya yang diidentifikasi oleh Trend Micro untuk semua pengguna yang ditargetkan, sementara patch Microsoft hanya akan memungkinkan pengguna yang paling berhati-hati – yang mungkin tidak akan meluncurkan pintasan tersebut – untuk melihat keseluruhan string perintah berbahaya,” kata Kolsek.

“Meskipun pintasan berbahaya dapat dibuat dengan kurang dari 260 karakter, kami yakin dengan menghentikan serangan sebenarnya yang terdeteksi di alam liar dapat membuat perbedaan besar bagi mereka yang menjadi sasaran.”

Keamanan ACROS tambalan CVE-2025-9491 tidak resmi tersedia untuk pengguna 0patch dengan akun PRO atau Perusahaan yang menggunakan versi Windows yang telah mencapai akhir dukungan (Windows 7 hingga Windows 11 22H2, dan Windows Server 2008 R2 hingga Windows Server 2022).

Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI

IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.

Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.

Exit mobile version