Tehnologie

Microsoft ignoră vulnerabilitate Windows exploatată de hackeri ruși, chinezi și nord-coreeni

martie 23, 2025

micosoft-nu-va-remedia-o-vulnerabilitate-windows-folosita-de-hackeri-rusi,-chinezi-si-nord-coreeni-pentru-facilitarea-activitatilor-de-spionaj

Micosoft nu va remedia o vulnerabilitate Windows folosită de hackeri ruși, chinezi și nord-coreeni pentru facilitarea activităților de spionaj

Cel puțin 11 rețele de hackeri afiliate agențiilor de spionaj din Rusia, China, Iran și Coreea de Nord folosesc o vulnerabilitate Windows, documentată încă din 2017, pentru a masca aplicații malware și a facilita infiltrarea și colectarea de informații.

Vulnerabilitatea se bazează pe funcționalitatea simplă a scurtăturilor Windows (fișiere cu extensia .lnk). Acestea sunt folosite pentru a plasa pe desktop sau în meniul Start aplicații instalate, evitând căutarea fișierului executabil în folderul Program Files. Aceste scurtături pot fi utilizate și pentru a afișa orice fișier într-o locație accesibilă, chiar dacă acesta este stocat într-un alt folder.

Problema este că aceste scurtături Windows oferă funcționalități extinse, solicitate de dezvoltatori, cum ar fi configurarea unor pictograme personalizate sau parametrii pentru lansarea aplicației. De exemplu, o scurtătură poate lansa o aplicație normal, iar alta poate iniția crearea unui document nou. Însă, parametrii suplimentari pot declanșa comportamente malițioase, ascunse.

Microsoft nu a implementat un mecanism care să verifice dacă parametrii adăugați pentru inițializarea unei aplicații sunt standard sau conțin șiruri lungi de text, care ar putea ascunde comenzi suspecte.

Această problemă legată de scurtăturile „malformate”, prin care se ascund informații, a fost evidențiată de experții în securitate Peter Girnus și Aliakbar Zahravi de la Trend Micro:

„Am identificat aproape o mie de exemple de fișiere Shell Link (.lnk) care exploatează vulnerabilitatea ZDI-CAN-25373; cu toate acestea, numărul total de exploatari este probabil mult mai mare.” „Am transmis Microsoft un cod de dovadă a conceptului prin programul de recompensare a erorilor Trend ZDI, însă compania nu a implementat un patch de securitate la această vulnerabilitate.”

Vulnerabilitatea, ignorată de Microsoft, este folosită activ de numeroase grupuri de hackeri, în special de grupuri de spionaj și criminalitate cibernetică, inclusiv Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, RedHotel, și Konnder, pentru a ascunde aplicațiile infectate.

Deși atacurile au avut ținte din întreaga lume, ele s-au concentrat pe America de Nord, America de Sud, Europa, Asia de Est și Australia. Aproximativ 70% din atacurile analizate au vizat spionajul și furtul de informații, în timp ce câștigul financiar a reprezentat doar 20% din activitățile identificate.