Hackers estão utilizando uma nova técnica chamada LNK Stomping para contornar a funcionalidade de segurança Mark of the Web (MoTW) do Windows. Essa técnica explora arquivos de atalho (LNKs), que, embora tenham sido criados para facilitar a vida do usuário, agora são usados para implantar cargas maliciosas disfarçadas de processos legítimos. Apesar das melhorias na política de bloqueio de macros da Microsoft em 2022, os atacantes continuam a explorar LNKs, frequentemente enviados como anexos de e-mail ou dentro de arquivos compactados. A estrutura dos arquivos LNK contém metadados que, quando manipulados, podem remover a etiqueta MoTW, permitindo que o código malicioso seja executado sem alertar o usuário. A pesquisa da Elastic Security Labs revelou que a normalização de caminhos no Windows pode ser manipulada para eliminar esses metadados de segurança. As organizações devem atualizar suas regras de detecção de endpoint para monitorar eventos de canonização de arquivos LNK e educar os usuários sobre os riscos de executar atalhos não solicitados. A evolução dos ataques exige uma pesquisa contínua sobre as fraquezas dos formatos de arquivo e ajustes proativos nas regras de segurança.
Fonte: https://cyberpress.org/mark-of-the-web-via-lnk-stomping/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
22/09/2025 • Risco: ALTO
VULNERABILIDADE
Ameaça de LNK Stomping contorna segurança do Windows
RESUMO EXECUTIVO
A técnica de LNK Stomping representa uma ameaça significativa para a segurança dos sistemas Windows, permitindo que atacantes contornem a proteção MoTW. A exploração ativa dessa vulnerabilidade, documentada pela CISA e Rapid7, exige que as organizações adotem medidas proativas para proteger seus ambientes.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais custos associados a violações de dados e interrupções operacionais.
Operacional
Exploits ativos documentados e inclusão na lista de vulnerabilidades conhecidas da CISA.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Setores Governamentais']
📊 INDICADORES CHAVE
Múltiplos padrões de LNK Stomping identificados desde 2018.
Indicador
CVE-2024-38217 adicionado ao catálogo de vulnerabilidades exploradas da CISA em setembro de 2024.
Contexto BR
Confirmação de exploração ativa pela Rapid7 em setembro de 2024.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há eventos de canonização de arquivos LNK nos sistemas.
2
Implementar regras de detecção de alterações em arquivos LNK e reforçar a educação dos usuários sobre riscos.
3
Monitorar continuamente processos do Explorer que modificam arquivos LNK sem ações do usuário.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de ataques que contornam medidas de segurança existentes, colocando em risco a integridade dos sistemas.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD em caso de exploração bem-sucedida.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
