Cve-2025-9491

A Microsoft lançou correções para uma vulnerabilidade crítica em arquivos de atalho do Windows, identificada como CVE-2025-9491. Essa falha, que já foi explorada em ataques por grupos de hackers e estados estrangeiros, permite que comandos maliciosos sejam ocultados em arquivos do tipo LNK. Para que a exploração ocorra, é necessária a interação do usuário, que deve abrir o arquivo. Os cibercriminosos costumam enviar esses arquivos disfarçados em anexos compactados, como ZIP, para evitar detecções. A vulnerabilidade se aproveita da forma como o Windows exibe os atalhos, permitindo que códigos maliciosos sejam executados sem que o usuário perceba, uma vez que o campo Target do atalho só mostra os primeiros 260 caracteres. Apesar da correção da Microsoft, que agora exibe todos os caracteres do campo Target, a falha não é completamente resolvida, pois os comandos maliciosos permanecem. A ACROS Security, por sua vez, lançou uma correção alternativa que limita os atalhos a 260 caracteres e alerta os usuários sobre potenciais perigos. Essa situação destaca a necessidade de vigilância constante e educação em segurança cibernética para evitar que usuários caiam em armadilhas.

A Microsoft lançou um patch silencioso em novembro de 2025 para corrigir a vulnerabilidade CVE-2025-9491, que afeta arquivos de atalho (.LNK) do Windows. Essa falha, que existe desde 2017, permite que atacantes executem código remotamente ao manipular a interface do usuário, ocultando comandos maliciosos através de caracteres em branco. A vulnerabilidade foi explorada por grupos patrocinados por estados, incluindo nações como China, Irã, Coreia do Norte e Rússia, em campanhas de espionagem e roubo de dados. A falha foi inicialmente revelada em março de 2025, e, apesar de a Microsoft ter inicialmente decidido não corrigir o problema, a crescente exploração levou à liberação do patch. O novo comportamento do sistema agora exibe o comando completo no diálogo de propriedades, independentemente do seu comprimento, mitigando o risco de ocultação. A 0patch, por sua vez, oferece uma micropatch que alerta os usuários ao tentarem abrir arquivos .LNK com mais de 260 caracteres, destacando a necessidade de proteção contínua contra ataques que possam utilizar essa vulnerabilidade.

Uma vulnerabilidade crítica no Windows, identificada como CVE-2025-9491, tem sido explorada por cibercriminosos nos últimos oito anos, levantando preocupações sobre a segurança do sistema operacional. Essa falha, que afeta o processamento de arquivos LNK, permite que hackers disseminem malware, como trojans de acesso remoto, através de ataques de phishing. Recentemente, um grupo de cibercriminosos tem direcionado suas ações a diplomatas em países europeus, como Bélgica, Hungria e Itália, utilizando essa vulnerabilidade para espionagem digital. Apesar de a Microsoft ter sido informada sobre a falha, não há indícios de que a empresa esteja trabalhando em uma correção, o que gera incertezas sobre a segurança dos usuários. Enquanto isso, recomenda-se que os usuários permaneçam vigilantes quanto a e-mails suspeitos e evitem abrir arquivos LNK de remetentes desconhecidos. A situação é alarmante, especialmente considerando a crescente sofisticação dos ataques digitais e a necessidade de proteção robusta em um cenário de ameaças cibernéticas em evolução.

O grupo de ameaças conhecido como UNC6384, associado à China, está vinculado a uma nova onda de ataques que exploram uma vulnerabilidade não corrigida em atalhos do Windows, visando entidades diplomáticas e governamentais na Europa entre setembro e outubro de 2025. Os ataques foram direcionados a organizações diplomáticas na Hungria, Bélgica, Itália e Países Baixos, além de agências governamentais na Sérvia. A cadeia de ataque começa com e-mails de spear-phishing que contêm URLs maliciosas, levando à entrega de arquivos LNK que exploram a vulnerabilidade ZDI-CAN-25373, identificada como CVE-2025-9491. Esses arquivos são projetados para desencadear uma sequência de ataques que culminam na implantação do malware PlugX, um trojan de acesso remoto. O PlugX é conhecido por suas capacidades de acesso remoto, incluindo execução de comandos, registro de teclas e upload/download de arquivos. A evolução do malware foi observada, com a redução do tamanho dos artefatos de 700 KB para 4 KB, indicando um desenvolvimento ativo. A campanha se alinha com os interesses estratégicos da China em relação à coesão das alianças europeias e iniciativas de defesa.