Microsoft đã âm thầm khắc phục một lỗ hổng bảo mật đã bị nhiều tác nhân đe dọa khai thác từ năm 2017, trong khuôn khổ các bản cập nhật Patch Tuesday tháng 11 năm 2025 của công ty, theo 0patch của ACROS Security.
Lỗ hổng được đề cập là CVE-2025-9491 (điểm CVSS: 7.8/7.0), được mô tả là lỗ hổng hiểu sai giao diện người dùng tệp Windows Shortcut (LNK) có thể dẫn đến thực thi mã từ xa.
"Lỗ hổng cụ thể tồn tại trong cách xử lý các tệp .LNK", theo mô tả trong Cơ sở dữ liệu lỗ hổng quốc gia (NVD) của NIST. "Dữ liệu được tạo trong tệp .LNK có thể khiến nội dung nguy hiểm trong tệp trở nên vô hình đối với người dùng kiểm tra tệp thông qua giao diện người dùng do Windows cung cấp. Kẻ tấn công có thể tận dụng lỗ hổng này để thực thi mã trong ngữ cảnh của người dùng hiện tại."
Nói cách khác, các tệp shortcut này được tạo ra sao cho việc xem thuộc tính của chúng trong Windows sẽ che giấu các lệnh độc hại được thực thi khỏi tầm nhìn của người dùng bằng cách sử dụng các ký tự "whitespace" khác nhau. Để kích hoạt thực thi, kẻ tấn công có thể ngụy trang các tệp này thành các tài liệu vô hại.
Chi tiết về lỗ hổng này lần đầu tiên xuất hiện vào tháng 3 năm 2025, khi Zero Day Initiative (ZDI) của Trend Micro tiết lộ rằng vấn đề này đã bị 11 nhóm được nhà nước bảo trợ từ Trung Quốc, Iran, Triều Tiên và Nga khai thác như một phần của các chiến dịch đánh cắp dữ liệu, gián điệp và động cơ tài chính, một số trong đó có từ năm 2017. Vấn đề này cũng được theo dõi là ZDI-CAN-25373.
Vào thời điểm đó, Microsoft đã nói với The Hacker News rằng lỗ hổng này không đủ điều kiện để được khắc phục ngay lập tức và họ sẽ xem xét sửa chữa nó trong một bản phát hành trong tương lai. Hãng cũng chỉ ra rằng định dạng tệp LNK bị chặn trên Outlook, Word, Excel, PowerPoint và OneNote, do đó, bất kỳ nỗ lực nào để mở các tệp như vậy sẽ kích hoạt cảnh báo cho người dùng không nên mở tệp từ các nguồn không xác định.
Sau đó, một báo cáo từ HarfangLab phát hiện ra rằng lỗ hổng này đã bị một nhóm gián điệp mạng được gọi là XDSpy lạm dụng để phân phối một malware dựa trên Go có tên XDigo như một phần của các cuộc tấn công nhắm vào các thực thể chính phủ Đông Âu, cùng tháng lỗ hổng được công khai.
Sau đó, vào cuối tháng 10 năm 2025, vấn đề này lại tái diễn lần thứ ba sau khi Arctic Wolf cảnh báo về một chiến dịch tấn công trong đó các tác nhân đe dọa liên kết với Trung Quốc đã vũ khí hóa lỗ hổng này trong các cuộc tấn công nhắm vào các thực thể ngoại giao và chính phủ châu Âu và phát tán malware PlugX.
Sự phát triển này đã thúc đẩy Microsoft ban hành hướng dẫn chính thức về CVE-2025-9491, nhắc lại quyết định không vá lỗi và nhấn mạnh rằng họ không coi đó là một lỗ hổng "do có sự tương tác của người dùng và thực tế là hệ thống đã cảnh báo người dùng rằng định dạng này không đáng tin cậy."
0patch cho biết lỗ hổng không chỉ là về việc ẩn phần độc hại của lệnh khỏi trường Target, mà còn là thực tế rằng tệp LNK "cho phép các đối số Target là một chuỗi rất dài (hàng chục nghìn ký tự), nhưng hộp thoại Properties chỉ hiển thị 260 ký tự đầu tiên, âm thầm cắt bỏ phần còn lại."
Điều này cũng có nghĩa là một tác nhân độc hại có thể tạo một tệp LNK có thể chạy một lệnh dài, điều này sẽ khiến chỉ 260 ký tự đầu tiên của nó được hiển thị cho người dùng xem thuộc tính của nó. Phần còn lại của chuỗi lệnh chỉ đơn giản là bị cắt ngắn. Theo Microsoft, cấu trúc tệp về mặt lý thuyết cho phép các chuỗi lên đến 32k ký tự.
Bản vá lỗi âm thầm được Microsoft phát hành giải quyết vấn đề bằng cách hiển thị toàn bộ lệnh Target với các đối số trong hộp thoại Properties, bất kể độ dài của nó. Tuy nhiên, hành vi này phụ thuộc vào khả năng có thể tồn tại các tệp shortcut có hơn 260 ký tự trong trường Target của chúng.
micropatch của 0patch cho lỗ hổng tương tự đi theo một hướng khác bằng cách hiển thị cảnh báo khi người dùng cố gắng mở một tệp LNK có hơn 260 ký tự.
"Mặc dù các shortcut độc hại có thể được tạo với ít hơn 260 ký tự, chúng tôi tin rằng việc ngăn chặn các cuộc tấn công thực tế được phát hiện trong thực tế có thể tạo ra sự khác biệt lớn cho những người bị nhắm mục tiêu", họ cho biết.
The Hacker News đã liên hệ với Microsoft để bình luận và sẽ cập nhật bài viết nếu nhận được phản hồi từ công ty.
