IT之家 2 月 13 日消息，科技媒體 bleepingcomputer 昨日（2 月 12 日）發(fā)布博文，報(bào)道稱在 Wild West Hackin' Fest 活動中，安全研究員 Wietze Beukema 披露了多種 Windows LNK 快捷方式文件欺騙技術(shù)。

IT之家援引博文介紹，該技術(shù)利用了 Windows 資源管理器處理文件路徑時的邏輯缺陷，攻擊者通過在 LNK 文件中植入違禁字符（如雙引號）或操縱數(shù)據(jù)結(jié)構(gòu)，能制造出“表里不一”的惡意文件。

具體而言，攻擊者可以修改文件內(nèi)的 EnvironmentVariableDataBlock 結(jié)構(gòu)，僅設(shè)置 ANSI 目標(biāo)字段而留空 Unicode 字段。這導(dǎo)致用戶在查看文件屬性時，看到的是看似無害的“invoice.pdf”，但雙擊運(yùn)行后，系統(tǒng)實(shí)際上會執(zhí)行 PowerShell 腳本或其他惡意程序。

Beukema 已于 2025 年 9 月向微軟安全響應(yīng)中心（MSRC）提交了報(bào)告。然而，微軟拒絕將此問題歸類為安全漏洞，并表示不會立即修復(fù)。

微軟發(fā)言人指出，此類利用技術(shù)必須誘導(dǎo)用戶主動運(yùn)行惡意文件，因此并未突破系統(tǒng)的安全邊界。微軟強(qiáng)調(diào)，Windows Defender 已具備識別此類威脅的能力，且 Smart App Control（智能應(yīng)用控制）能提供額外的防護(hù)層，阻止來自互聯(lián)網(wǎng)的惡意文件運(yùn)行。微軟建議用戶嚴(yán)格留意系統(tǒng)彈出的“未知來源文件”安全警告。

盡管微軟認(rèn)為現(xiàn)有防護(hù)機(jī)制足以應(yīng)對，Beukema 卻對此表示擔(dān)憂。他指出，攻擊者之所以青睞 LNK 文件，是因?yàn)橛脩敉鶗?xí)慣性地快速點(diǎn)擊跳過安全警告。

為了幫助防御者識別此類威脅，Beukema 發(fā)布了名為 lnk-it-up 的開源工具套件。該工具不僅能模擬生成此類欺騙性 LNK 文件用于測試，還能預(yù)測資源管理器顯示的內(nèi)容與實(shí)際執(zhí)行內(nèi)容之間的差異，從而輔助識別潛在的惡意攻擊。

回顧歷史，微軟對 LNK 漏洞的態(tài)度并非首次引發(fā)爭議。此前被曝光的 CVE-2025-9491 漏洞（利用空白填充隱藏命令行參數(shù)）最初也未被微軟視為安全邊界突破。

該漏洞最早可以追溯到 2025 年 3 月，于 2025 年 8 月底被公開披露，一旦被攻擊者利用，可以遠(yuǎn)程執(zhí)行任意代碼。有趣的是，微軟最初曾表示該問題不符合其定義的安全漏洞標(biāo)準(zhǔn)，因此拒絕發(fā)布官方補(bǔ)丁。

然而，趨勢科技（Trend Micro）和 Arctic Wolf 的調(diào)查顯示，包括 Mustang Panda（針對歐洲外交官）、Evil Corp 和 APT37 在內(nèi)的至少 11 個國家級黑客組織及網(wǎng)絡(luò)犯罪團(tuán)伙，長期利用該缺陷發(fā)動零日攻擊。

面對嚴(yán)峻的安全形勢，微軟最終于 2025 年 12 月悄然修改 LNK 文件處理機(jī)制，以緩解這一被廣泛濫用的漏洞。

相關(guān)閱讀：

• 《微軟悄然修復(fù) Win11 高危 LNK 漏洞，曾拒絕承認(rèn)其風(fēng)險》

• 《Win10 / Win11 系統(tǒng) .lnk 文件成惡意軟件“隱身衣”，微軟拒絕補(bǔ)丁但強(qiáng)化檢測》

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。