微軟(Microsoft)近期對 Windows 捷徑檔(LNK)屬性視窗進行了一次低調但影響深遠的調整,修復了一個自 2017 年以來被多個國家級駭客組織(如 UNC6384、Mustang Panda)長期濫用的使用者介面(UI)設計缺陷。儘管微軟最初不將其認定為需要修補的資安漏洞,但這次調整,實質上終結了駭客利用 UI 盲點進行的「視覺欺騙」攻擊。
這次對 CVE-2025-9491 相關問題的修復,對攻擊者和使用者都帶來了影響。
微軟 LNK 捷徑 UI 修正帶來的影響
微軟透過 Windows 更新,調整了捷徑屬性視窗的顯示行為,現在可以完整顯示目標欄位中數萬字元的指令字串,而非僅截斷顯示前 260 個字元。這項看似細微的介面調整,帶來了兩大核心影響:
1. 終結駭客利用 UI 盲點的隱藏手法
過去,攻擊者利用 LNK 檔案目標字串可容納超長內容的特性,在前面填入大量空白或看似無害的內容,將真正的惡意指令(如執行 PowerShell 或 PlugX 惡意程式)隱藏在使用者不可見的後段。
修復後,使用者或資安人員在檢查屬性時,能看見完整的執行指令,等於是拆除了攻擊者長期以來依賴的「隱形斗篷」。這使得依賴視覺欺騙的攻擊手法將不再具備效率,攻擊者必須尋找新的、更複雜的代碼隱藏技術。
2. 強調「信任介面」的風險
問題的嚴重性在於屬性視窗本身對顯示長度存在硬性限制,導致即便是資安專家,在信任 Windows 內建介面的前提下,也可能對真正被執行的指令產生誤判。這次修正,雖然微軟將其定位為「功能修正」而非「安全公告」,但它重新對齊了介面的顯示內容與實際的執行結果,提醒使用者任何官方介面都可能存在缺陷,不能盲目信任。
3. 攻擊者仍有繞過空間
資安專家也指出,這次修正並非完整解決方案,雖然現在能看到完整指令,但 Windows 並不會刪除惡意參數,也不會在開啟包含超長目標字串的 LNK 檔案時主動發出更強烈的警告。這意味著,雖然攻擊難度提升,但 LNK 檔案作為一種傳遞惡意程式的載體,其基礎風險仍存在,使用者依然需要互動操作才能觸發感染。
一般使用者在日常使用 Windows 的防範建議
這起事件清晰地提醒所有 Windows 使用者:軟體供應商的修補存在滯後性,且資安防護必須從使用者行為開始建立。面對日益猖獗的國家級和專業駭客組織,一般使用者應遵循以下原則,避免電腦中毒:
1. 貫徹「三不一檢查」原則:
- 不開啟來源不明的檔案,特別是壓縮檔(如 .zip)中的 LNK 捷徑檔。由於電子郵件平台多會封鎖 LNK 附件,駭客會偽裝成壓縮檔散布。
- 不忽視 Windows 的安全警告訊息。微軟雖然不認定 LNK 缺陷是漏洞,但承認系統會對從網際網路下載的 LNK 檔案發出 Mark of the Web (MoTW) 標記警告,請務必重視。
- 不聽從指示點擊執行。若遇到可疑檔案,即使介面看似無害,也絕不輕易點擊「執行」或「確認」。
- 一檢查: 檢查可疑捷徑檔的屬性。在安裝更新後,使用者現在可以全選並複製目標欄位的內容,貼到文字編輯器中詳細檢查,確認是否有異常長的或隱藏的命令字串。
2. 利用內建防護:
- 啟用 Microsoft Defender: 確保內建的防毒軟體保持開啟狀態,它有針對性的檢測來阻擋這類惡意活動。
這起 LNK 漏洞事件是最好的警示:駭客的攻擊手法遠比想像中更具耐心和隱蔽性。使用者必須從被動接收資訊,轉變為主動質疑與查證介面顯示的資訊,才能在數位世界中確保自身的安全。
照片
img name