Volgens de 0patch van ACROS Security heeft Microsoft stilletjes een beveiligingslek gedicht dat sinds 2017 door verschillende bedreigingsactoren wordt uitgebuit als onderdeel van de Patch Tuesday-updates van november 2025.
De kwetsbaarheid in kwestie is CVE-2025-9491 (CVSS-score: 7,8/7,0), dat is beschreven als een kwetsbaarheid voor verkeerde interpretatie van de gebruikersinterface van Windows Shortcut (LNK)-bestanden die kan leiden tot uitvoering van externe code.
“De specifieke fout bestaat in de verwerking van .LNK-bestanden”, aldus een beschrijving in de NIST National Vulnerability Database (NVD). “Vervaardigde gegevens in een .LNK-bestand kunnen ervoor zorgen dat gevaarlijke inhoud in het bestand onzichtbaar wordt voor een gebruiker die het bestand inspecteert via de door Windows geleverde gebruikersinterface. Een aanvaller kan dit beveiligingslek misbruiken om code uit te voeren in de context van de huidige gebruiker.”
Met andere woorden, deze snelkoppelingsbestanden zijn zo gemaakt dat het bekijken van hun eigenschappen in Windows de kwaadaardige opdrachten die ze uitvoeren buiten het zicht van de gebruiker verbergt door gebruik te maken van verschillende “witruimte”-tekens. Om de uitvoering ervan te activeren, konden aanvallers de bestanden vermommen als onschadelijke documenten.
Details van de tekortkoming kwamen voor het eerst naar voren in maart 2025, toen het Zero Day Initiative (ZDI) van Trend Micro bekendmaakte dat de kwestie was uitgebuit door elf door de staat gesponsorde groepen uit China, Iran, Noord-Korea en Rusland als onderdeel van gegevensdiefstal, spionage en financieel gemotiveerde campagnes, waarvan sommige dateren uit 2017. De kwestie wordt ook bijgehouden als ZDI-CAN-25373.
Destijds vertelde Microsoft aan The Hacker News dat de fout niet voldoet aan de lat voor onmiddellijke reparatie en dat zij zal overwegen om deze in een toekomstige release te verhelpen. Het wees er ook op dat het LNK-bestandsformaat wordt geblokkeerd in Outlook, Word, Excel, PowerPoint en OneNote, waardoor elke poging om dergelijke bestanden te openen een waarschuwing voor gebruikers zal activeren om geen bestanden van onbekende bronnen te openen.
Vervolgens ontdekte een rapport van HarfangLab dat de tekortkoming werd misbruikt door een cyberspionagecluster bekend als XDSpy om een op Go gebaseerde malware genaamd XDigo te verspreiden als onderdeel van aanvallen gericht op Oost-Europese overheidsinstanties, dezelfde maand dat de fout openbaar werd gemaakt.
Eind oktober 2025 kwam de kwestie voor de derde keer ter sprake nadat Arctic Wolf een offensieve campagne had gelanceerd waarin aan China gelieerde dreigingsactoren de fout in aanvallen gericht op Europese diplomatieke en overheidsinstanties bewapenden en de PlugX-malware afleverden.
Deze ontwikkeling was voor Microsoft aanleiding om formele richtlijnen uit te vaardigen over CVE-2025-9491, waarbij het zijn besluit herhaalde om het niet te patchen en benadrukte dat het het als een kwetsbaarheid beschouwt “vanwege de betrokken gebruikersinteractie en het feit dat het systeem gebruikers al waarschuwt dat dit formaat niet wordt vertrouwd.”
0patch zei dat de kwetsbaarheid niet alleen gaat over het verbergen van het kwaadaardige deel van het commando buiten het Target-veld, maar over het feit dat een LNK-bestand “toestaat dat de Target-argumenten een zeer lange reeks zijn (tienduizenden tekens), maar dat het dialoogvenster Eigenschappen alleen de eerste 260 tekens toont en de rest stilletjes afsnijdt.”
Dit betekent ook dat een slechte actor een LNK-bestand kan maken dat een lange opdracht kan uitvoeren, waardoor alleen de eerste 260 tekens ervan worden weergegeven aan de gebruiker die de eigenschappen ervan heeft bekeken. De rest van de opdrachtreeks wordt eenvoudigweg afgekapt. Volgens Microsoft maakt de structuur van het bestand in theorie tekenreeksen van maximaal 32.000 tekens mogelijk.
De stille patch van Microsoft lost het probleem op door in het dialoogvenster Eigenschappen de volledige opdracht Target met argumenten weer te geven, ongeacht de lengte ervan. Dat gezegd hebbende, hangt dit gedrag af van de mogelijkheid dat er snelkoppelingsbestanden kunnen bestaan met meer dan 260 tekens in hun doelveld.
De micropatch van 0patch voor dezelfde fout kiest een andere route door een waarschuwing weer te geven wanneer gebruikers proberen een LNK-bestand met meer dan 260 tekens te openen.
“Hoewel kwaadaardige snelkoppelingen kunnen worden gemaakt met minder dan 260 tekens, geloven we dat het verstoren van daadwerkelijke aanvallen die in het wild worden gedetecteerd een groot verschil kan maken voor de doelwitten”, aldus het rapport.
The Hacker News heeft contact opgenomen met Microsoft voor commentaar en zal het stuk bijwerken als we iets van het bedrijf horen.
