Microsoft ukrywał lukę bezpieczeństwa Windows przez 8 lat. Twierdzą, że to nic wielkiego

Microsoft niespodziewanie wyeliminował lukę CVE-2025-9491, która od 2017 roku była narzędziem sieci szpiegowskich i grup cyberprzestępczych specjalizujących się w operacjach ukrytego dostępu. Poprawka została wprowadzona bez rozgłosu w listopadowym wydaniu aktualizacji Patch Tuesday 2025, mimo że przez lata zgłaszano skalę problemu i jego konsekwencje.

Błąd pozwalał na przygotowanie złośliwych plików skrótów .lnk, które prezentowały użytkownikom niewinne parametry, a jednocześnie uruchamiały ukryte polecenia. Atakujący wykorzystywali niedrukowalne znaki i puste przestrzenie, aby całkowicie zamaskować złośliwe argumenty. Właściwości skrótu wyglądały jak normalne lub pozbawione treści, choć w tle działał kod przygotowany do przejęcia systemu.

Zależność od socjotechniki ułatwiała infekcję, ponieważ skróty .lnk były często traktowane jako niegroźne załączniki. Format okazał się skutecznym narzędziem dla grup cyberwywiadowczych sponsorowanych przez państwa. Badacze z Trend Micro opisali w marcu, że od 2017 roku zidentyfikowano niemal tysiąc próbek wykorzystywanych w akcjach prowadzonych przez zespoły z Korei Północnej, Iranu, Rosji i Chin. Wskazano jedenaście operujących globalnie grup, które stosowały ten sposób w celu pozyskiwania danych i utrzymywania stałego, ukrytego dostępu do serwerów i stacji roboczych.

 „Nasza analiza wykazała, że ​​11 grup sponsorowanych przez państwa z Korei Północnej, Iranu, Rosji i Chin używało ZDI-CAN-25373 w operacjach motywowanych głównie cyberszpiegostwem i kradzieżą danych” – poinformowano Trend Micro.

Wieloletnia zwłoka z łatką

Pierwsze próby zgłoszenia problemu w ramach Zero Day Initiative napotkały sprzeciw. Microsoft odpowiadała, że luka ma zbyt niski priorytet, by uznać ją za wymagającą naprawy. Dopiero po latach, w obliczu nowych kampanii cyberszpiegowskich, firma wycofała się z wcześniejszego stanowiska i wprowadziła zmianę, która sprawia, że okno właściwości skrótu prezentuje pełną ścieżkę polecenia bez miejsca na manipulacje.

Nasilenie ataków przed publikacją poprawki

Najnowsze analizy pokaza „Nasza analiza wykazała, że ​​11 grup sponsorowanych przez państwa z Korei Północnej, Iranu, Rosji i Chin używało ZDI-CAN-25373 w operacjach motywowanych głównie cyberszpiegostwem i kradzieżą danych” – poinformowano wówczas.ły, że luka wciąż wykorzystywana była w atakach jeszcze na kilka tygodni przed wydaniem aktualizacji. Laboratoria Arctic Wolf opublikowały opis kampanii prowadzonej przez chińską grupę UNC6384, znaną jako Mustang Panda. W jej trakcie adresaci otrzymywali spreparowane e-maile stylizowane na oficjalne wiadomości z europejskich instytucji. Wystarczało otwarcie jednego pliku skrótu, aby uruchomić sekwencję działań prowadzącą do instalacji trojana zdalnego dostępu PlugX poprzez boczne ładowanie bibliotek DLL powiązanych z legalnym oprogramowaniem. Ataki były skierowane w placówki dyplomatyczne na terenie Węgier, Belgii, Włoch, Serbii i Holandii.

Reakcja producenta

Po nagłośnieniu sprawy Microsoft odwołała się do wcześniejszej publikacji z 31 października, w której twierdziła, że raport nie spełnia kryteriów uznania podatności za lukę bezpieczeństwa. Firma wskazała przy tym na system wykrywania w programie Microsoft Defender oraz funkcję Smart App Control, które miały ograniczać konsekwencje wykorzystania błędu. Mimo tego w listopadzie poprawka trafiła do użytkowników bez szerokiej komunikacji i bez oznaczenia jej jako istotnej aktualizacji bezpieczeństwa.