Volgens nieuwe beveiligingsrapporten wordt een al lang bestaande kwetsbaarheid in Windows-snelkoppelingsbestanden (LNK) actief misbruikt door door de staat gesponsorde hackgroepen om cyberaanvallen tegen overheidsinstanties en diplomaten te lanceren. De fout, bijgehouden als CVE-2025-9491, stelt aanvallers in staat kwaadaardige code te verbergen binnen de ogenschijnlijk onschuldige snelkoppelingspictogrammen die dagelijks door miljoenen gebruikers worden gebruikt. Ondanks het groeiende aantal aanvallen heeft Microsoft naar verluidt besloten geen directe patch voor het probleem uit te brengen, vanwege het risico dat de functionaliteit van het legitieme besturingssysteem wordt verbroken. Windows LNK-bestanden worden doorgaans gebruikt om naar applicaties of documenten te verwijzen. Ze kunnen echter ook worden geconfigureerd om systeemopdrachten uit te voeren. Het beveiligingslek ligt in de manier waarop Windows deze bestandseigenschappen aan de gebruiker weergeeft. Terwijl de Windows-gebruikersinterface alleen de eerste 255 tekens van het doelpad van een snelkoppeling weergeeft, ondersteunt de bestandsindeling zelf maximaal 4.096 tekens. Aanvallers maken misbruik van dit gat door hun kwaadaardige opdrachten te ‘opvullen’ met uitgebreide witruimte. Wanneer een gebruiker de bestandseigenschappen inspecteert, ziet hij een goedaardig pad, maar de verborgen kwaadaardige argumenten (zoals PowerShell-scripts die malware downloaden) worden onmiddellijk uitgevoerd zodra het bestand wordt geopend. Beveiligingsonderzoekers hebben deze techniek gekoppeld aan spraakmakende spionagecampagnes. Eén groep, bijgehouden als XDSpy, heeft zich gericht op overheidsinstanties in Oost-Europa. Bij deze aanvallen gebruikte de groep LNK-bestanden om een legitiem, door Microsoft ondertekend uitvoerbaar bestand te activeren. Dit uitvoerbare bestand sideloadde vervolgens een kwaadaardig DLL-bestand om de “XDigo”-payload te installeren, die in staat is gevoelige gegevens te stelen, schermafbeeldingen vast te leggen en toetsaanslagen te registreren. Er is waargenomen dat een andere bedreigingsactoren, geïdentificeerd als UNC6384, zich richtten op Europese diplomaten. Deze groep gebruikt vergelijkbare tactieken om witruimte op te vullen om PowerShell-opdrachten te verbergen die de PlugX trojan voor externe toegang inzetten, een hulpmiddel dat vaak wordt geassocieerd met Chinese cyberspionageoperaties. Uit rapporten blijkt dat deze aanvallen zijn gebruikt om systemen in Hongarije, België en andere NAVO-landen in gevaar te brengen. Volgens rapporten van Help Net Security heeft Microsoft vastgesteld dat deze specifieke kwetsbaarheid “niet voldeed aan de lat voor onderhoud”. Het standpunt van het bedrijf is dat de mogelijkheid voor snelkoppelingen om programma’s met argumenten te starten een fundamenteel kenmerk van het Windows-besturingssysteem is, en dat het veranderen van dit gedrag legitieme software zou kunnen verstoren. In plaats van een codefix vertrouwt Microsoft op zijn beveiligingsecosysteem om de dreiging te beperken. Het bedrijf stelt dat Microsoft Defender kwaadaardige snelkoppelingen kan markeren en dat de Smart App Control-functie niet-vertrouwde bestanden kan blokkeren die van internet zijn gedownload. Beveiligingsexperts adviseren gebruikers om LNK-bestanden met dezelfde voorzichtigheid te behandelen als uitvoerbare bestanden (.EXE), vooral als ze via e-mail of in ZIP-archieven binnenkomen. Omdat de Windows-interface mogelijk niet het volledige gevaar van een bestand onthult, is visuele inspectie niet langer een betrouwbare veiligheidsmaatregel. Voor bedrijfsomgevingen wordt beveiligingsteams aangeraden beleid zoals AppLocker te configureren om te voorkomen dat snelkoppelingsbestanden opdrachtregelprogramma’s zoals PowerShell starten. Voor individuele gebruikers blijft het up-to-date houden van antivirussoftware de belangrijkste verdedigingslinie tegen deze ‘zero-click’- of single-click-aanvallen.
