VietNetwork.Vn

Theo 0patch của ACROS Security, Microsoft đã âm thầm vá một lỗ hổng bảo mật đã bị nhiều kẻ tấn công khai thác kể từ năm 2017 như một phần của bản cập nhật Patch Tuesday tháng 11 năm 2025 của công ty.

Lỗ hổng bảo mật được đề cập là CVE-2025-9491 (điểm CVSS: 7,8/7,0), được mô tả là lỗ hổng giải thích sai giao diện người dùng tệp Windows Shortcut (LNK) có thể dẫn đến thực thi mã từ xa.


"Lỗ hổng cụ thể này nằm trong việc xử lý các tệp.LNK", theo mô tả trong Cơ sở dữ liệu Lỗ hổng Quốc gia (NVD) của NIST. "Dữ liệu được tạo trong tệp.LNK có thể khiến nội dung nguy hiểm trong tệp trở nên vô hình đối với người dùng kiểm tra tệp thông qua giao diện người dùng do Windows cung cấp. Kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi mã trong ngữ cảnh của người dùng hiện tại."

Nói cách khác, các tệp shortcut này được thiết kế sao cho việc xem thuộc tính của chúng trong Windows có thể che giấu các lệnh độc hại được chúng thực thi khỏi tầm nhìn của người dùng bằng cách sử dụng nhiều ký tự "khoảng trắng". Để kích hoạt việc thực thi, kẻ tấn công có thể ngụy trang các tệp này thành các tài liệu vô hại.

Chi tiết về lỗ hổng này lần đầu tiên xuất hiện vào tháng 3 năm 2025, khi Sáng kiến Ngày thứ 0 (ZDI) của Trend Micro tiết lộ rằng vấn đề này đã bị 11 nhóm do nhà nước Trung Quốc, Iran, Triều Tiên và Nga tài trợ khai thác như một phần của các chiến dịch đánh cắp dữ liệu, gián điệp và có động cơ tài chính, một số trong đó có từ năm 2017. Vấn đề này cũng được theo dõi là ZDI-CAN-25373.

Vào thời điểm đó, Microsoft đã nói với The Hacker News rằng lỗ hổng này chưa đủ điều kiện để được khắc phục ngay lập tức và họ sẽ xem xét việc sửa lỗi trong bản phát hành trong tương lai. Microsoft cũng chỉ ra rằng định dạng tệp LNK bị chặn trên Outlook, Word, Excel, PowerPoint và OneNote, do đó, bất kỳ nỗ lực nào để mở các tệp như vậy sẽ kích hoạt cảnh báo cho người dùng không mở tệp từ các nguồn không xác định.

Sau đó, một báo cáo từ HarfangLab phát hiện ra rằng lỗ hổng này đã bị một nhóm gián điệp mạng có tên là XDSpy lợi dụng để phân phối phần mềm độc hại chạy trên nền tảng Go có tên là XDigo như một phần của các cuộc tấn công nhắm vào các tổ chức chính phủ Đông Âu, cùng tháng lỗ hổng này được tiết lộ công khai.

Sau đó, vào cuối tháng 10 năm 2025, vấn đề này lại nổi lên lần thứ ba sau khi Arctic Wolf phát hiện một chiến dịch tấn công trong đó các tác nhân đe dọa có liên hệ với Trung Quốc đã lợi dụng lỗ hổng này trong các cuộc tấn công nhằm vào các tổ chức ngoại giao và chính phủ châu Âu và phát tán phần mềm độc hại PlugX.

Sự phát triển này đã thúc đẩy Microsoft ban hành hướng dẫn chính thức về CVE-2025-9491, nhắc lại quyết định không vá lỗi này và nhấn mạnh rằng họ coi đây là một lỗ hổng bảo mật "do sự tương tác của người dùng và thực tế là hệ thống đã cảnh báo người dùng rằng định dạng này không đáng tin cậy".

0patch cho biết lỗ hổng bảo mật không chỉ nằm ở việc ẩn phần độc hại của lệnh khỏi trường Target, mà còn ở chỗ tệp LNK "cho phép các đối số Target là một chuỗi rất dài (hàng chục nghìn ký tự), nhưng hộp thoại Thuộc tính chỉ hiển thị 260 ký tự đầu tiên, âm thầm cắt bỏ phần còn lại".

Điều này cũng có nghĩa là kẻ tấn công có thể tạo một tệp LNK có thể chạy một lệnh dài, khiến người dùng xem thuộc tính của tệp chỉ thấy 260 ký tự đầu tiên. Phần còn lại của chuỗi lệnh sẽ bị cắt ngắn. Theo Microsoft, về mặt lý thuyết, cấu trúc của tệp cho phép các chuỗi lệnh dài tới 32k ký tự.

Bản vá lỗi im lặng do Microsoft phát hành giải quyết vấn đề bằng cách hiển thị toàn bộ lệnh Target kèm theo các đối số trong hộp thoại Thuộc tính, bất kể độ dài của lệnh. Tuy nhiên, điều này phụ thuộc vào khả năng tồn tại các tệp lối tắt có hơn 260 ký tự trong trường Target.

Bản vá lỗi nhỏ của 0patch cho cùng một lỗi lại có cách xử lý khác bằng cách hiển thị cảnh báo khi người dùng cố gắng mở tệp LNK có hơn 260 ký tự.

"Mặc dù các lối tắt độc hại có thể được tạo ra với ít hơn 260 ký tự, chúng tôi tin rằng việc ngăn chặn các cuộc tấn công thực tế được phát hiện trong thực tế có thể tạo ra sự khác biệt lớn đối với những người bị nhắm mục tiêu", báo cáo cho biết.

Hacker News đã liên hệ với Microsoft để xin bình luận và sẽ cập nhật bài viết nếu nhận được phản hồi từ công ty.