Em silêncio, a Microsoft corrigiu uma vulnerabilidade explorada por diversos grupos maliciosos desde 2017.
A falha foi resolvida na atualização do Patch Tuesday de novembro de 2025, conforme revelou o 0patch, da ACROS Security.
Identificada como
CVE-2025-9491
(pontuação CVSS entre 7,0 e 7,8), a brecha está relacionada a uma falha na interpretação da interface de arquivos Windows Shortcut (.LNK).
Essa vulnerabilidade permite a execução remota de código.
Segundo o banco de dados NIST National Vulnerability Database (NVD), “dados especialmente criados em um arquivo .LNK podem esconder conteúdo perigoso da visualização do usuário por meio da interface padrão do Windows.
Isso possibilita que um atacante execute código com as permissões do usuário atual”.
Na prática, os arquivos de atalho são manipulados para que, ao verificar suas propriedades no Windows, comandos maliciosos fiquem ocultos por meio do uso de caracteres de espaçamento invisíveis (“whitespace”).
Para enganar a vítima, os atacantes mascaram esses arquivos como documentos inofensivos.
Os primeiros relatos sobre a exploração dessa vulnerabilidade surgiram em março de 2025, quando a iniciativa Zero Day Initiative (ZDI), da Trend Micro, revelou que pelo menos 11 grupos patrocinados por Estados — como China, Irã, Coreia do Norte e Rússia — a utilizavam desde 2017 em operações de espionagem, roubo de dados e campanhas financeiras.
A falha também é catalogada como ZDI-CAN-25373.
Na época, a Microsoft informou ao The Hacker News que a vulnerabilidade não justificava uma correção imediata e que sua solução poderia ser considerada para lançamentos futuros.
A empresa destacou ainda que o formato de arquivo LNK é bloqueado em aplicativos como Outlook, Word, Excel, PowerPoint e OneNote, e que o sistema emite alertas para usuários que tentam abrir arquivos suspeitos desses tipos.
Posteriormente, um relatório da HarfangLab revelou que grupos de espionagem como o XDSpy vinham abusando da falha para distribuir um malware desenvolvido em Go, chamado XDigo, em ataques contra órgãos governamentais do Leste Europeu, no mesmo mês em que a vulnerabilidade foi tornada pública.
No final de outubro de 2025, a falha voltou a ser explorada em uma campanha detectada pela Arctic Wolf.
Nessa operação, atores ligados à China exploraram a vulnerabilidade para atacar entidades diplomáticas e governamentais europeias, distribuindo o malware PlugX.
Esse ressurgimento levou a Microsoft a emitir orientações oficiais sobre a
CVE-2025-9491
, reforçando sua decisão de não lançar um patch imediato.
A empresa justificou sua postura ao destacar que a vulnerabilidade exige interação do usuário para ser explorada e ressaltou que o sistema já alerta sobre arquivos LNK desconhecidos, considerados não confiáveis.
Segundo o 0patch, o problema não está apenas na ocultação de comandos nocivos no campo Target do arquivo LNK, mas também no fato de que esse campo pode conter strings muito longas — com dezenas de milhares de caracteres — enquanto a janela de propriedades do Windows mostra apenas os primeiros 260, ocultando silenciosamente o restante.
Isso permite que um atacante crie um comando extenso dentro do atalho que, ao ser visualizado, exibe apenas uma parte inocente, enquanto o trecho malicioso fica oculto.
A Microsoft revelou que a estrutura do arquivo permite, teoricamente, até 32 mil caracteres nesse campo Target.
A correção implementada garante que toda a cadeia de comandos presente no campo Target seja exibida na janela de propriedades, independentemente do tamanho.
Essa mudança depende da existência prática de arquivos com mais de 260 caracteres nesse campo.
Por sua vez, o micropatch do 0patch adota uma abordagem diferente: exibe um aviso quando o usuário tenta abrir um arquivo LNK com mais de 260 caracteres, alertando para o possível risco.
Segundo o 0patch, embora ataques maliciosos possam ser feitos com menos caracteres, interromper os ataques reais já detectados pode ser eficiente para os alvos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...