Trend Micro: Microsoft игнорирует уязвимость ярлыков более 8 лет, считая её лишь проблемой интерфейса

Исследователи из компании Trend Micro сообщили, что Microsoft с 2017 года не устраняет уязвимость в настройках ярлыков, которая существует уже более восьми лет. В корпорации Microsoft считают, что это вопрос интерфейса пользователя, а не проблемы безопасности операционной системы, поэтому не рассматривают его как высокоприоритетный для исправления.

Выяснилось, что злоумышленники могут модифицировать атрибуты файлов *.LNK (Shell Link или MS-SHLLINK), добавляя к строкам в поле Target множество пробелов, чтобы скрыть вредоносные команды. Аргументы командной строки в этом поле могут инициировать выполнение кода на компьютере жертвы. Хотя такой метод атаки и считается примитивным, он при этом весьма действенен. Злоумышленники направляют ярлыки на легитимные файлы или исполняемые файлы, но скрытно добавляют инструкции для извлечения или разгрузки, что может привести к запуску вредоносного программного обеспечения в системе.

Как обычно, в Windows содержимое ярлыков и аргументы командной строки легко распознаются, что упрощает выявление подозрительных команд.

Однако, если дополнительные аргументы в поле Target замаскированы под тысячами пробелов, их становится сложно заметить в интерфейсе пользователя.

«Это лишь одна из множества уязвимостей в Windows, которые эксплуатируются злоумышленниками, но она не была устранена. Поэтому мы классифицировали её как уязвимость нулевого дня ZDI-CAN-25373. Мы уведомили Microsoft, но они считают это исключительно проблемой интерфейса, а не безопасностью. Поэтому это не попадает под их критерии для обновлений безопасности, но может быть исправлено в будущих версиях ОС», — прокомментировал Дастин Чайлдс, руководитель отдела по информированию об угрозах в Zero Day Initiative.

Ранее исследователь в области информационной безопасности Уилл Дорманн критиковал Центр реагирования на угрозы безопасности Microsoft (MSRC) за отказ рассматривать его отчет об уязвимости, пока белый хакер не предоставил компании детальное видео и письменное объяснение инцидента с подтверждающими скриншотами. «Я понимаю, что современные дети могут не воспринимать информацию, которая не представлена в формате TikTok. Но MSRC не принимает детально оформленный отчет об уязвимости без соответствующего видео», — заявил Дорманн.

В ответ на это в MSRC сообщили Дорманну, что: «Для эффективного рассмотрения предоставьте четкое видео POC (доказательство концепции), демонстрирующее, как эксплуатируется указанная уязвимость. Без этого мы не сможем продвинуться дальше. Это будет очень важно». Не найдя понимания в требованиях Microsoft, которые, по словам Дорманна, вынуждали показать лишь ввод нескольких команд, уже отображенных на скриншотах, и нажимание Enter в CMD, аналитик создал пятнадцатиминутное видео, наполненное сторонним контентом и энергичной фоновой музыкой в стиле техно, что заняло на рецензирование около 14 минут бездействия (видео ниже было обрезано).