Selon Next INpact, Microsoft a corrigé en novembre (Patch Tuesday) CVE-2025-9491, un problème lié aux fichiers LNK que l’éditeur ne considérait pas comme une vulnérabilité, bien qu’il ait été activement exploité depuis 2017.
🧩 Nature de la vulnérabilité: les fichiers .LNK permettent jusqu’à 32 000 caractères dans le champ Target, mais l’interface Windows n’en affichait que 260 dans la boîte de dialogue Propriétés. Des attaquants pouvaient ainsi cacher des commandes malveillantes au-delà de cette limite, en usant d’espaces et d’obfuscation, rendant l’artefact trompeur lors d’une simple inspection visuelle. Le correctif modifie l’UI pour afficher l’intégralité de la commande Target, quelle que soit sa longueur.
⚠️ Évaluation du risque: la sévérité est jugée élevée par le NIST (CVSS 7,8) et la Zero Day Initiative de Trend Micro (7), contre 3 pour la CISA. Microsoft soutient dans une note du 1er novembre ne pas considérer CVE-2025-9491 comme une faille, invoquant la nécessité d’interactions utilisateur et la présence d’avertissements sur les fichiers non fiables.
🎯 Exploitation observée: selon Trend Micro, au moins 11 groupes APT (chinois, iraniens, nord‑coréens et russes) ont exploité cette technique. Exemples cités: le groupe XDSpy a diffusé le malware XDigo contre des entités gouvernementales d’Europe de l’Est en juin 2025; des acteurs chinois ont visé des entités diplomatiques et gouvernementales européennes avec PlugX en octobre 2025 (rapports HarfangLab et Arctic Wolf).
🛠️ Correctif: la mise à jour Patch Tuesday de novembre ajuste le comportement de la boîte de dialogue Propriétés pour afficher toute la commande Target, supprimant l’angle mort d’affichage utilisé à des fins d’obfuscation. Cet article est un compte rendu de patch de sécurité et de son contexte d’exploitation.
🔗 Source originale : https://next.ink/212845/microsoft-colmate-une-breche-exploitee-depuis-2017-dans-les-fichiers-lnk/