Microsoft, sıfır gün saldırılarında çok sayıda devlet destekli ve siber suç korsanlığı grubu tarafından istismar edilen yüksek önemdeki bir Windows LNK güvenlik açığını sessizce "hafifletmiştir".
CVE-2025-9491 olarak izlenen bu güvenlik kusuru, saldırganların Windows LNK dosyalarındaki kötü amaçlı komutları gizlemesine olanak tanır; bu, kötü amaçlı yazılım dağıtmak ve güvenliği ihlal edilmiş cihazlarda kalıcılık kazanmak için kullanılabilir. Ancak saldırılar, potansiyel kurbanların kötü amaçlı Windows Kabuk Bağlantısı (.lnk) dosyalarını açmaları için kandırılmalarını içerdiğinden, başarılı olmak için kullanıcı etkileşimi gerekiyor.
E-posta platformları riskli yapıları nedeniyle genellikle .lnk eklerini engellediğinden, tehdit aktörleri bu dosyaları ZIP veya diğer arşivlerde dağıtır.
Güvenlik açığı, Windows'un .LNK dosyalarını nasıl işlediğiyle ilgilidir; tehdit aktörlerinin, tespitten kaçınmak ve Windows .LNK dosyalarındaki Hedef alanını kötü amaçlı komut satırı argümanlarını gizlemek için boşluklarla doldurarak kullanıcının bilgisi olmadan savunmasız cihazlarda kod yürütmek için işletim sisteminin bunları görüntüleme biçiminden yararlanmasına olanak tanır.
Bu, eklenen boşluklar nedeniyle dosyanın Hedef alan özelliklerinin yalnızca ilk 260 karakteri görüntülemesini sağlar; böylece kullanıcılar, LNK dosyası çift tıklandığında yürütülen gerçek komutu göremez.
Trend Micro tehdit analistlerinin Mart 2025'te keşfettiği gibi, CVE-2025-9491 halihazırda Evil Corp, Bitter, APT37, APT43 (Kimsuky olarak da bilinir), Mustang Panda, SideWinder, RedHotel, Konni ve diğerleri dahil olmak üzere 11 devlet destekli grup ve siber suç çetesi tarafından geniş çapta istismar ediliyordu.
Trend Micro, "Ursnif, Gh0st RAT ve Trickbot gibi çeşitli kötü amaçlı yazılım yükleri ve yükleyiciler, bu kampanyalarda takip edildi ve hizmet olarak kötü amaçlı yazılım (MaaS) platformları tehdit ortamını karmaşık hale getirdi." dedi.
Arctic Wolf Labs ayrıca Ekim ayında Çin devlet destekli Mustang Panda hack grubunun, PlugX uzaktan erişim truva atı (RAT) kötü amaçlı yazılımını dağıtmak için Macaristan, Belçika ve diğer Avrupa ülkelerindeki Avrupalı diplomatları hedef alan sıfır gün saldırılarında bu Windows güvenlik açığından yararlandığını bildirdi.
Microsoft, Mart ayında BleepingComputer'a, "hemen bakım için çıtayı karşılamamasına" rağmen, bu sıfır gün kusurunu "üzerine almayı düşüneceğini" söyledi.
Ayrıca Kasım ayında yayınlanan bir tavsiye belgesinde, tehdit aktörlerinin bu uyarıları atlatmak ve saldırılarının başarılı olmasını sağlamak için Web İşareti atlama güvenlik açığından yararlanabilmesine rağmen, "kullanıcı etkileşimi ve sistemin kullanıcıları bu biçimin güvenilmez olduğu yönünde zaten uyarması nedeniyle" bunu bir güvenlik açığı olarak değerlendirmediğini de ekledi.
Buna rağmen, ACROS Security CEO'su ve 0patch kurucu ortağı Mitja Kolsek'in tespit ettiği gibi, Microsoft, CVE-2025-9491 kusurunu hafifletme çabasıyla Haziran 2025 güncellemelerinde (kademeli olarak kullanıma sunulmuş olabilir) LNK dosyalarını sessizce değiştirdi. Son güncellemeleri yükledikten sonra kullanıcılar artık LNK dosyalarının Özelliklerini açarken Hedef alanındaki yalnızca ilk 260 karakteri değil tüm karakterleri görebiliyor.
Ancak, LNK dosyalarına eklenen kötü amaçlı bağımsız değişkenler silinmeyeceğinden ve kullanıcı, 260 karakteri aşan bir Hedef dizeye sahip LNK dosyalarını açarken herhangi bir uyarı almayacağından bu mutlaka bir düzeltme değildir.
Bu değişikliğin güvenlik açığını hafifletmeye yönelik bir girişim olup olmadığını onaylaması istendiğinde, bir Microsoft sözcüsü şu ifadeyi paylaştı: "En iyi güvenlik uygulaması olarak, müşterileri potansiyel olarak zararlı dosyaları tanımak ve bu dosyalar hakkında kullanıcıları uyarmak için tasarlanmış güvenlik uyarılarında belirtildiği gibi, bilinmeyen kaynaklardan dosya indirirken dikkatli olmaya teşvik ediyoruz."
Microsoft bu güvenlik açığını yeterince giderene kadar ACROS Security, 0Patch mikro yama platformu aracılığıyla tüm kısayol hedef dizelerini 260 karakterle sınırlayan ve kullanıcıları alışılmadık derecede uzun hedef dizelerle kısayolları açmanın olası tehlikesi konusunda uyaran resmi olmayan bir yama yayınladı.
Kolsek, "Yamamız, Trend Micro tarafından hedeflenen tüm kullanıcılar için tanımlanan 1000'den fazla kötü amaçlı kısayolu kıracak, Microsoft'un yaması ise bu kullanıcılar arasında yalnızca en dikkatli olanların - muhtemelen bu tür kısayolları zaten başlatmayacak olanların - tüm kötü amaçlı komut dizesini görmesine izin verecek." dedi.
"260'tan az karakterle kötü amaçlı kısayollar oluşturulabilse de, doğada tespit edilen gerçek saldırıları engellemenin hedeflenenler için büyük bir fark yaratabileceğine inanıyoruz."
ACROS Security'nin resmi olmayan CVE-2025-9491 yaması, desteğin sonuna ulaşmış Windows sürümlerini (Windows 7'den Windows 11 22H2'ye ve Windows Server 2008 R2'den Windows Server 2022'ye) kullanan PRO veya Enterprise hesapları olan 0patch kullanıcıları için mevcuttur.
04 Aralık 14:16 EST Güncellemesi: Microsoft'un beyanı eklendi ve hikaye, CVE-2025-9491 azaltımının muhtemelen Haziran 2025'te kullanıma sunulmaya başlayacağını belirtecek şekilde revize edildi.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Yeni Windows sıfır günü, 2017'den bu yana 11 eyaletteki bilgisayar korsanlığı grubu tarafından istismar ediliyor
Windows sıfır günü Avrupalı diplomatlar hakkında casusluk yapmak için aktif olarak kullanıldı
Google, saldırılarda istismar edilen iki Android sıfır gününü, 107 kusurunu düzeltti
CISA, Fortinet'teki yeni kusurun düzeltilmesi için devlet kurumlarına 7 gün süre verdi
Fortinet, saldırılarda istismar edilen yeni FortiWeb sıfır günü konusunda uyardı
Kaynak: Bleeping Computer