Эпопея уязвимости: Microsoft игнорирует баг в ярлыках Windows, считая это лишь проблемой интерфейса

Исследователи компании Trend Micro заявили, что Microsoft уже на протяжении более восьми лет (с 2017 года) игнорирует уязвимость в настройках ярлыков. В Microsoft рассматривают это как недостаток пользовательского интерфейса, а не как проблему безопасности, из-за чего они не придают этой ситуации большого значения после получения уведомлений о необходимости исправления.

Выяснилось, что хакеры могут добавлять огромное количество пробелов в поле Target файлов типа *.LNK (Shell Link или MS-SHLLINK), чтобы скрыть вредоносные команды. По сути, аргументы, содержащиеся в этом поле, способны запустить код на компьютере жертвы. Этот метод атаки, хотя и не требует сложных технологий, проявляет высокую эффективность. Интересно, что ярлыки, используемые злоумышленниками, ссылаются на легитимные файлы или программы, но одновременно содержат скрытые инструкции для загрузки и выполнения вредоносного кода.

В операционной системе Windows видно, какова цель ярлыка и какие аргументы командной строки он содержит, что облегчает обнаружение подозрительных действий.

Однако если дополнительные аргументы в поле Target замаскированы тысячами пробелов, их становится очень сложно заметить в пользовательском интерфейсе.

«Это лишь одна из многих уязвимостей в Windows, которые используются киберпреступниками, и она до сих пор не устранена. Именно по этой причине мы обозначили её как уязвимость нулевого дня ZDI-CAN-25373. Мы уведомили Microsoft, но они рассматривают это как проблему интерфейса, а не как угрозу безопасности. Поэтому это не приоритет для обновлений безопасности, но может быть устранено в будущих версиях ОС», — прокомментировал глава отдела угроз в Zero Day Initiative Дастин Чайлдс.

Ранее эксперт в области информационной безопасности Уилл Дорманн критиковал работу Microsoft Security Response Center (MSRC) за отказ рассматривать его отчет об уязвимости, пока белый хакер не предоставил подробное видео с объяснением и подтверждающими снимками экрана. «Я понимаю, что сегодняшнему поколению сложно воспринять что-либо, что не присутствует в TikTok. Но MSRC не принимает серьезные сообщения об уязвимостях без соответствующего видео», — отметил Дорманн.

В MSRC возразили Дорманну: «Пожалуйста, предоставьте четкое видео POC (доказательство концепции), чтобы показать, как работает данная уязвимость. Без этого мы не можем продвинуться дальше. Это было бы очень полезно». Разочарованный требованиями Microsoft, которые, по словам Дормана, могли бы быть выполнены простыми командами, уже представленными на скриншотах, аналитик создал пятнадцатиминутное видео, заполненное сторонним контентом и с энергичной фоновой музыкой в стиле техно, которое занимало почти 14 минут бездействия (видео сократилось).