Contents

Windows 11 のゼロデイ セキュリティ脆弱性が Microsoft から部分修正される

Contents

<本文>/images/windows_11_generic_hero_1-jpg.jpg

Microsoft は、複数の国家支援グループやサイバー犯罪組織がゼロデイ攻撃を行っている、重大度の高い Windows LNK 脆弱性 CVE-2025-9491 に対する部分的な緩和策を密かに展開しました。このセキュリティ上の欠陥により、攻撃者は標準の Windows ショートカット ファイル内に悪意のあるコマンドを隠すことができます。

中心的な問題は、Windows がこれらのショートカット ファイルを処理する方法に起因します。ショートカットのプロパティを確認したことがある場合は、ショートカットが実行するコマンドを示す「ターゲット」というフィールドがあることがわかるでしょう。従来、Windows UI では、ターゲット フィールドの最初の 260 文字のみが表示されていました。

攻撃者は、場合によっては数万文字にも及ぶ非常に長いコマンド文字列を含む LNK ファイルをプログラムで作成し、その文字列の先頭を空白文字で埋めることができることを発見しました。このトリックにより、リモート アクセス トロイの木馬 (RAT) やローダーなどのツールを展開する実際の悪意のあるコードがユーザーの視界から完全に排除されました。

ユーザーは無害なスペースでいっぱいのフィールドしか見ていなかったため、ファイルをダブルクリックしたときに何が実行されるのかわかりませんでした。残念ながら、これは理論上の脅威ではありませんでした。トレンドマイクロのアナリストは、この脆弱性が広く悪用されており、その活動は 2017 年に遡ることを 3 月に発見しました。

研究者らは、実際に存在する悪意のあるショートカットを 1,000 近く発見しました。 Evil Corp、APT37、Bitter、中国国家支援の Mustang Panda などの有名な脅威アクターはすべて、このトリックを利用して、Ursnif、Gh0st RAT、Trickbot などのマルウェアを展開していました。 Arctic Wolf Labs は、Mustang Panda がハンガリーやベルギーなどの国の欧州外交官を標的としたゼロデイ攻撃の欠陥を悪用し、侵害されたシステムに PlugX RAT を押し込んだことを特に指摘しました。

この攻撃は、被害者が悪意のある LNK ファイルを開くことに依存していました。電子メール プロバイダーは危険な性質を持つ raw.lnk 添付ファイルをブロックできるほど賢明であるため、脅威アクターは通常、これらのファイルを ZIP またはその他のアーカイブ内で配布します。

ACROS Security CEO で 0patch の共同創設者である Mitja Kolsek は、Microsoft が プロパティ ダイアログの動作を黙って変更していることに気づきました。ここで、LNK ファイルのプロパティを開くと、文字列の長さに関係なく、「ターゲット」フィールドにすべての文字が表示されます。

UI の信頼を回復することは間違いなく正しい方向への一歩ではありますが、完全な解決策ではありません。このアップデートでは、既存の LNK ファイルにすでに存在する悪意のある引数は削除されません。また、ターゲット文字列が異常に長いという警告もユーザーには表示されません。

攻撃者が数千文字の長さのコマンド文字列を作成した場合、隠されたコードを見つけるためにその小さなフィールドをずっとスクロールするのは、最もセキュリティを意識したユーザーだけです。一般の人にとって、この変更はソーシャル エンジニアリングに対する実用的な保護をあまり提供しません。

Microsoft のサイレント フィックスには制限があるため、ACROS Security は 0patch マイクロパッチ プラットフォームを通じて独自の非公式パッチをリリースすることを決定しました。完全な文字列を表示するだけでなく、0patch ソリューションはすべてのショートカット ターゲット文字列を 260 文字に制限します。ショートカット ファイルがその長さを超える場合、パッチはコマンドを短くし、潜在的な危険性をユーザーに警告します。

結局のところ、このゼロデイを非常に効果的なものにした UI の不正表示に黙って対処した Microsoft は称賛に値します。しかし、実際の攻撃ベクトルを積極的にブロックするために非公式のサードパーティ パッチを作成する必要があったという事実は、この種の重要なセキュリティ修正を一般の人々にとって本当に効果的なものにするためには、まだやるべきことが残っていることを示しています。

出典: ブリーピングコンピュータ

*️⃣ 出典リンク:

判明しましたトレンドマイクロのアナリスト、気づきました]( https://blog.0patch.com/2025/12/microsoft-silently-patched-cve-2025.html)、 独自の非公式パッチブリーピング コンピューター