根据第三方修补服务商0patch在最新技术分析中指出,微软虽然对外维持不构成漏洞立场,实际上已在今年默默调整Windows捷径属性窗口的显示行为,修正多年来遭攻击者滥用的UI设计缺陷。该漏洞会让用户在检查捷径属性时,看见的目标指令与实际执行内容不完全相同,已被编号为CVE-2025-9491。
事件最早在2025年3月由趋势科技公开,研究人员发现,自2017年起已有近千个恶意Windows捷径文件出现在各类攻击行动中。攻击者利用捷径目标字段实际可容纳数万字符的特性,先在前段填入大量空白或类似空白的字符,再把真正的PowerShell或批次指令藏在后面,由于传统属性窗口只显示前260字符,用户即使打开属性检查,看见的要不是空白,就是看似无害的一小段内容。
而Arctic Wolf在欧洲外交机构遭攻击事件中,再次观察到中国关联攻击者UNC6384,滥用同一技巧传播PlugX恶意程序,当时这项问题已正式编号为CVE-2025-9491。外界质疑微软对已在野外利用的问题仍未修补,微软随后在一份针对CVE-2025-9491的指引文件中回应,强调从网际网络下载的捷径文件带有Mark of the Web(MoTW)标记,用户在打开前会看到风险警示,因此公司不认定这是需要修补的安全漏洞。
0patch起初与微软看法接近,也曾认为这只是显示位置问题,谨慎的用户可以通过卷动检查整段文本。不过在重新查看捷径结构后,0patch确认,关键不在于恶意内容只是被挤到属性窗口的可见范围之外,而是属性窗口本身对显示长度有限制,捷径目标实际上可以非常冗长,但属性窗口只呈现前260字符,后段内容完全不可见,导致即便是安全人员,在信任界面的前提下,也可能对真正会被执行的指令产生误判。
微软在2025年中通过Windows更新调整行为,现在捷径属性窗口已可显示完整目标字符串,用户可以全选后贴到文本编辑器详细检查。0patch指出,这次调整被视为功能修正而非安全公告,确实让界面与实际执行内容重新对齐。
0patch自家提供的修补采取更主动的风险管控策略,在侦测到由文件总管打开且目标长度超过260字符的捷径时,会将目标截断在260字符并跳出警示,提醒这是一个异常捷径,同时也让后段可能藏匿的恶意指令无法执行。
