Microsoft “corrige” falha grave em arquivos de atalho do Windows

A Microsoft aplicou correções a uma vulnerabilidade considerada severa em arquivos do tipo LNK, de atalho, que já foi explorada em diversos ataques financiados por estados estrangeiros e grupos hackers em ataques zero-day. A falha, chamada CVE-2025-9491, permite esconder comandos maliciosos nesse tipo de arquivo.

• O que é uma vulnerabilidade de dia zero (Zero-Day)?
• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes

Os ataques, no entanto, precisam da interação de usuários para funcionar: a vítima precisa abrir o arquivo Windows Shell Link (.lnk), que não pode ser enviado por e-mail, dado o risco que representa. Por isso, os cibercriminosos enviam arquivos ZIP ou outros tipos de compactação nos anexos.

Vulnerabilidade e correção

A brecha se baseia na maneira com que o Windows lida com arquivos LNK, permitindo que atacantes explorem o modo com que o sistema exibe os atalhos e evitem detecção.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Assim, códigos maliciosos são executados ao escondê-los no campo Target, com espaços em branco ocultando as linhas de comando. O campo em questão só mostra os primeiros 260 caracteres, então o usuário não consegue notar os códigos ao abrir o atalho.

Em análise da Trend Micro em março deste ano, notou-se que a vulnerabilidade já estava sendo explorada por 11 grupos maliciosos, como Evil Corp, Bitter, APT73, APT43 (Kimsuky), MustangPanda, SideWinder, RedHotel e Konni. Isso incluiu ataques a diplomatas europeus na Bélgica e Hungria ao enviar o trojan de acesso remoto PlugX aos funcionários públicos.

A Microsoft afirmou que já estava trabalhando em soluções para o problema, mas que não o considerava uma vulnerabilidade, já que requer interação do usuário. Em uma atualização silenciosa de novembro, a empresa fez com que arquivos LNK agora mostram todos os caracteres do campo Target quando abrem as propriedades.

A “correção”, no entanto, não faz com que os comandos maliciosos sejam apagados, e usuários não são avisados caso abram um arquivo do tipo com mais de 260 caracteres. A empresa de cibersegurança ACROS Security lançou uma correção não-oficial pela plataforma 0Patch para limitar todas as strings de atalhos a 260 caracteres, avisando o usuário de potenciais perigos.

O CEO da ACROS e cofundador da 0Patch, Mitja Kolsek, afirmou que a sua correção ajuda mais do que a da Microsoft, já que esta última só evitaria ataques nos usuários mais cautelosos e conhecedores da informática, que provavelmente já não cairiam no golpe do atalho. O patch está disponível para usuários de 0Patch com contas PRO ou Enterprise que usam versões do Windows já sem suporte (do 7 ao 11 22H2, Server 2008 R2 a Server 2022).

Confira também:

• Popular nas smart TVs, app SmartTube foi infectado com malware; veja o que fazer
• Novo golpe se espalha por convites falsos do Calendly; veja como se proteger
• Grupo que atacou Petrobras invade ASUS e rouba 1 TB de dados

VÍDEO | Adeus, Windows 10! 👋 A Microsoft encerrou o suporte, e agora é hora de dar um upgrade.

Leia a matéria no Canaltech.