Name: Tremplin Numérique
Price range: $$$

Microsoft a discrètement déployé une atténuation partielle de la vulnérabilité Windows LNK de haute gravité, CVE-2025-9491, que plusieurs groupes parrainés par l'État et gangs de cybercriminalité exploitent comme un jour zéro. Cette faille de sécurité permet aux attaquants de masquer les commandes malveillantes dans les fichiers de raccourci Windows standard.

Le problème principal vient de la façon dont Windows gère ces fichiers de raccourci. Si vous avez déjà vérifié les propriétés d'un raccourci, vous saurez qu'il existe un champ appelé « Cible » qui affiche la commande exécutée par le raccourci. Historiquement, l'interface utilisateur Windows affichait uniquement les 260 premiers caractères de ce champ cible.

Les attaquants ont compris qu'ils pouvaient construire par programme des fichiers LNK avec des chaînes de commande extrêmement longues, parfois des dizaines de milliers de caractères, puis compléter le début de cette chaîne avec des espaces. Cette astuce a poussé le code malveillant lui-même, qui déployait des outils tels que des chevaux de Troie d'accès à distance (RAT) et des chargeurs, complètement hors de la vue de l'utilisateur.

Étant donné que l'utilisateur ne voyait qu'un champ rempli d'espaces inoffensifs, il n'avait aucune idée de ce qui allait s'exécuter lorsqu'il double-cliquait sur le fichier. Malheureusement, il ne s’agissait pas d’une menace théorique. Les analystes de Trend Micro ont découvert en mars que cette vulnérabilité avait été largement exploitée, avec des campagnes remontant jusqu'en 2017.

Les chercheurs ont découvert près d’un millier de raccourcis malveillants dans la nature. Des acteurs malveillants de premier plan comme Evil Corp, APT37, Bitter et Mustang Panda, soutenu par l'État chinois, exploitaient tous cette astuce pour déployer des logiciels malveillants, notamment Ursnif, Gh0st RAT et Trickbot. Arctic Wolf Labs a spécifiquement noté que Mustang Panda avait utilisé cette faille dans des attaques zero-day ciblant des diplomates européens dans des pays comme la Hongrie et la Belgique, poussant le PlugX RAT sur des systèmes compromis.

Les attaques reposaient sur l'ouverture par les victimes du fichier LNK malveillant. Les acteurs malveillants distribuent généralement ces fichiers dans des archives ZIP ou autres, car les fournisseurs de messagerie sont suffisamment intelligents pour bloquer les pièces jointes brutes .lnk en raison de leur nature risquée.

Mitja Kolsek, PDG d'ACROS Security et co-fondateur de 0patch, a remarqué que Microsoft avait modifié silencieusement le comportement de la boîte de dialogue Propriétés. Désormais, lorsque vous ouvrez les propriétés d'un fichier LNK, le champ Cible affiche tous les caractères, quelle que soit la longueur de la chaîne.

Bien que restaurer la confiance dans l’interface utilisateur soit certainement un pas dans la bonne direction, ce n’est pas une solution complète. La mise à jour ne supprime pas les arguments malveillants déjà présents dans les fichiers LNK existants. De plus, l'utilisateur ne reçoit aucun avertissement indiquant que la chaîne cible est inhabituellement longue.

Si un acteur malveillant construit une chaîne de commande composée de milliers de caractères, seuls les utilisateurs les plus soucieux de leur sécurité prendront la peine de faire défiler ce petit champ pour trouver le code caché. Pour l’individu moyen, ce changement n’offre pas vraiment de protection pratique contre l’ingénierie sociale.

En raison des limitations du correctif silencieux de Microsoft, ACROS Security a décidé de publier son propre correctif non officiel via la plateforme de micropatch 0patch. Au lieu d'afficher simplement la chaîne complète, la solution 0patch limite toutes les chaînes cibles de raccourci à 260 caractères. Si un fichier de raccourci dépasse cette longueur, le correctif coupe la commande et alerte l'utilisateur du danger potentiel.

En fin de compte, Microsoft mérite le mérite d’avoir résolu silencieusement les fausses déclarations de l’interface utilisateur qui ont rendu ce jour zéro si efficace. Cependant, le fait qu'un correctif tiers non officiel ait dû être créé pour bloquer de manière agressive les vecteurs d'attaque réels montre qu'il reste encore du travail à faire pour rendre ces types de correctifs de sécurité critiques vraiment efficaces pour le grand public.