'Microsoft heeft LNK-kwetsbaarheid in Windows stilletjes gepatcht'
Microsoft heeft stilletjes een LNK-kwetsbaarheid in Windows gepatcht waar aanvallers actief misbruik van maken, zo stelt securitybedrijf Acros Security. In eerste instantie had Microsoft nog aangegeven dat het geen update zou uitbrengen. De kwetsbaarheid (CVE-2025-9491) doet zich voor bij het verwerken van .LNK-bestanden. Speciaal geprepareerde data in het .LNK-bestand zorgt ervoor dat gevaarlijke "command line arguments" niet zichtbaar zijn wanneer gebruikers het bestand inspecteren.
Een LNK-bestand kan een bestand aanroepen of een commando uitvoeren. Dit wordt weergegeven als gebruikers de eigenschap van het bestand bekijken. De kwetsbaarheid zorgt ervoor dat in het venster alleen de eerste 260 karakters zichtbaar zijn en de rest niet wordt getoond. Een aanvaller kan hier misbruik van maken door een .LNK-bestand te maken waarbij voor het Target-commando eerst 260 'whitespace' karakters worden gebruikt, en daarna pas het malafide commando volgt. Dit commando is daardoor niet zichtbaar voor gebruikers.
Eind maart meldde securitybedrijf Arctic Wolf dat het beveiligingslek onder andere is ingezet bij aanvallen tegen Europese diplomaten, waaronder in België. In maart van dit jaar waarschuwde antivirusbedrijf Trend Micro al dat het beveiligingslek bij aanvallen door een groot aantal spionagegroepen werd gebruikt.
Securitybedrijf ZDI rapporteerde de kwetsbaarheid op 20 september 2024 aan Microsoft. Het techbedrijf stelde destijds dat de melding niet in aanmerking kwam voor een beveiligingsupdate. Het ZDI kwam vervolgens met meer informatie, maar Microsoft bleef volhouden dat het probleem niet ernstig genoeg is voor een patch. Daarop besloot het securitybedrijf de details op 18 maart van dit jaar openbaar te maken.
Acros Security maakt onofficiële updates voor kwetsbaarheden in Windows, bijvoorbeeld wanneer Microsoft een beveiligingslek niet wil patchen. In dit geval werkte het bedrijf aan een oplossing voor CVE-2025-9491, toen het ontdekte dat de kwetsbaarheid tijdens de patchronde van november stilletjes door Microsoft is verholpen. Bij de eigenschappen van een .LNK-bestand is nu het volledige Target-commando zichtbaar, ongeacht hoe lang het is. Het techbedrijf heeft het oplossen van de kwetsbaarheid echter nergens gemeld, aldus Acros Security.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?