A ZDI-CAN-25373 egy, a Microsoft Windows rendszert érintő, eddig nem javított biztonsági rés, amelyet 2017 óta legalább 11 államilag támogatott hackercsoport (APT) használt ki adatlopásra és kiberkémkedésre. Ez a sebezhetőség a Windows parancsikonfájlokban (.lnk) található, lehetővé téve a támadók számára, hogy rejtett parancsokat hajtsanak végre a célzott rendszereken.
A támadók speciálisan kialakított .lnk fájlokat használnak, amelyek rejtett parancssori argumentumokat tartalmaznak. Ezek a parancsok a fájl megnyitásakor végrehajtásra kerülnek de a felhasználó számára láthatatlanok maradnak, mivel a parancsikon ”Cél” mezőjét szóközökkel vagy más karakterekkel töltik ki. Ennek következtében a Windows felhasználói felülete nem jeleníti meg a rosszindulatú tartalmat.
A ZDI-CAN-25373 sérülékenységet kihasználó támadások célpontjai között kormányzati szervek, pénzügyi intézmények, telekommunikációs vállalatok, valamint katonai és energiaszektorban működő szervezetek találhatók Észak-Amerikában, Európában, Ázsiában, Dél-Amerikában és Ausztráliában.
Annak ellenére, hogy a sebezhetőséget 2024 szeptemberében jelentették a Microsoftnak, a vállalat úgy döntött, hogy nem ad ki biztonsági frissítést, mivel az nem éri el az azonnali javítást indokló súlyossági szintet.
A szervezeteknek javasolt az ilyen típusú támadások elleni védekezés érdekében fokozott figyelmet fordítani a .lnk fájlok kezelésére, átfogó végpont- és hálózatvédelmi intézkedéseket bevezetni, valamint rendszeresen ellenőrizni rendszereiket a ZDI-CAN-25373 sebezhetőség kihasználására utaló jelek után.
A ZDI-CAN-25373 sebezhetőség kihasználása ellen az alábbi védekezési intézkedések javasoltak:
- A .lnk fájlok automatikus feldolgozásának korlátozása.
- Alkalmazásengedélyezési lista használata a felhasználók számára.
- A biztonsági szoftverek naprakészen tartása.
- A felhasználók tudatosságának növelése.
A ZDI-CAN-25373 sebezhetőséghez kapcsolódó indikátorok (IoC-k) és a YARA-szabály a ZDI honlapján elérhető.
