Trend Micro: Microsoft более 8 лет не исправляет уязвимость в настройках ярлыка, считая это проблемой UI, а не ИБ

Исследователи Trend Micro сообщили, что Microsoft более 8 лет (с 2017 года) не исправляет уязвимость в настройках ярлыка. В Microsoft считают это проблемой пользовательского интерфейса, а не уязвимостью системы безопасности ОС, поэтому в компании не выставляют высокий приоритет после получения отчётов для исправления проблемы.

Оказалось, что в настройках файлов *.LNK (Shell Link или MS-SHLLINK) злоумышленники дополняют строки в поле Target тысячами пробелов, чтобы скрыть вредоносные команды. Фактически аргументы командной строки в поле Target файлов *.LNK могут привести к выполнению кода на компьютере жертвы. Такой метод атаки является низкотехнологичным, но эффективным. Примечательно, что используемые злоумышленниками ярлыки указывают на легитимные файлы или исполняемые файлы, но они также незаметно включают в себя дополнительные инструкции для извлечения или распаковки и попытки запустить вредоносный код в системе.

Обычно цель ярлыка и аргументы командной строки там чётко видны в Windows, что позволяло бы легко обнаружить подозрительные команды.

Но если дополнительные аргументы командной строки в ярлыках поле Target скрыты тысячами пробелов, то получается их спрятать очень глубоко в пользовательском интерфейсе.

«Это одна из многих ошибок в Windows, которые используют злоумышленники, но она не исправлена, и именно поэтому мы сообщили об этом как об уязвимости нулевого дня ZDI-CAN-25373. Мы сообщили Microsoft, но они считают это проблемой пользовательского интерфейса, а не проблемой безопасности. Так что это не соответствует их планке обслуживания в качестве обновления безопасности, но это может быть исправлено в более поздней версии ОС или что-то в этом роде», — рассказал глава отдела осведомления об угрозах в Zero Day