今日、Wild West Hackin’ Festでセキュリティ研究者のWietze Beukema氏が、Windows LNKショートカットファイルにおける複数の脆弱性を発表しました。Beukema氏は、攻撃者が悪意のあるペイロードを展開するための4つの以前に知られていない手法について説明しました。
LNKショートカットファイルの問題
LNKショートカットはWindows 95で導入され、複雑なバイナリ形式を使用します。これにより、攻撃者はユーザーがファイルプロパティを確認した際に正規のファイルに見えるように偽装することができる一方で、開くと全く異なるプログラムが実行されます。
Beukema氏は、Windowsエクスプローラーがショートカットファイル内の複数のオプションデータ構造間で競合するターゲットパスを優先的に処理することを利用してこれらの問題を発見しました。最も効果的な手法では、ダブルクォートなどの禁止されたWindowsパス文字を使用して、一見有効なが技術的には無効なパスを作成し、エクスプローラーは一つのターゲットを表示しながら別のターゲットを実行します。
環境変数データブロックの問題
Beukema氏が特定した最も強力な手法は、LNKファイル内のEnvironmentVariableDataBlock構造を操作することです。ANSIターゲットフィールドのみを設定しUnicodeフィールドを空にすることで、攻撃者はプロパティウィンドウで「invoice.pdf」と表示される偽のターゲットを作成しながら実際にはPowerShellや他の悪意のあるコマンドが実行されます。
Microsoftの対応
Beukema氏は、この問題をMicrosoft Security Response Centerに提出しましたが(VULN-162145)、Microsoftはこれをセキュリティ脆弱性とはみなさず、ユーザーとの相互作用が必要でありセキュリティ境界を侵害しないと反論しています。
「これらの手法は、当社の深刻度分類ガイドラインに基づき緊急対応が必要とするものには該当しません。攻撃者がユーザーに悪意のあるファイルを開くようにだます必要があるからです」とMicrosoftのスポークスパーソンはBleepingComputerに対して述べています。
今後の展開
Trend Microの脅威アナリストが2025年3月に明らかにしたように、CVE-2025-9491は少なくとも11の国家支援型グループとサイバー犯罪団体によって広範に悪用されており、北朝鮮、イラン、ロシア、中国から攻撃が行われています。
Microsoftは当初、CVE-2025-9491がセキュリティ境界を破るとは考えず修正を拒否しましたが、2025年6月にLNKファイルの変更を行ったことが明らかになりました。これは、このアクティブに悪用されている脆弱性を軽減するためと思われます。