未修复的Windows快捷方式漏洞可导致远程代码执行,PoC已公布

admin 2025年5月4日02:55:48评论4 views字数 1221阅读4分4秒阅读模式

未修复的Windows快捷方式漏洞可导致远程代码执行,PoC已公布

未修复的Windows快捷方式漏洞可导致远程代码执行,PoC已公布

安全研究员Nafiez近日公开披露了一个此前未知的Windows LNK文件(快捷方式)漏洞,攻击者可能利用该漏洞在无需用户交互的情况下远程执行代码。尽管研究人员已发布可用的概念验证(PoC),微软仍拒绝修复该漏洞,称其"未达到安全修复标准"。
01

漏洞利用机制分析

漏洞利用Windows快捷方式文件结构中的特定元素构建复杂攻击链。通过精心构造包含恶意EnvironmentVariableDataBlock和UNC路径的LNK文件,攻击者可在用户仅打开包含恶意快捷方式的文件夹时,触发静默网络连接。
"当用户访问包含LNK文件的文件夹时,资源管理器会解析该文件夹中的所有文件...这正是文件初始化准备被调用/执行的阶段,"Nafiez在技术分析中解释道。
该漏洞的特别危险之处在于,攻击实施甚至不需要用户点击快捷方式——仅浏览包含恶意LNK文件的目录就足以触发攻击。
02

概念验证技术细节

漏洞利用通过操控LNK文件结构中的多个关键元素实现:
  • 设置HasArguments标志和EnvironmentVariableDataBlock以控制执行流程
  • 嵌入UNC路径(如192.168.44.128c)作为目标
  • 设置特定BlockSize和签名值来控制LNK文件行为
Windows资源管理器通过包括IInitializeNetworkFolder和IShellFolder2在内的COM接口链处理这些特制文件,这些接口负责处理网络资源。当用户访问文件夹时,该处理过程会自动启动,为静默执行创造了条件。
03

微软的安全立场与业界担忧

微软以"网络标记"(Mark of the Web,MOTW)安全功能已提供足够保护为由,决定不修复此漏洞。MOTW是对可能恶意的下载文件添加的数字标签,会在执行前触发安全警告。
这种处理方式延续了微软对以往LNK漏洞的一贯态度。根据其安全服务标准,微软仅修复那些"违反安全边界或安全功能设计意图"且达到严重性阈值的问题。
研究员Nafiez指出,编译代码后运行可执行文件生成LNK文件,并确保运行Responder工具捕获NTLM哈希。
未修复的Windows快捷方式漏洞可导致远程代码执行,PoC已公布
安全专家担忧仅依赖MOTW可能不足,因已存在已知绕过技术。Elastic安全实验室最近发现的"LNK stomping"技术已被威胁分子使用至少六年,可成功绕过MOTW控制。
04

LNK文件攻击历史与现状

这并非LNK文件首次被利用。微软此前曾修复过LNK文件中的关键漏洞,包括2017年的远程代码执行漏洞和2010年遭主动利用的另一个漏洞。
LNK文件正日益成为威胁分子的热门攻击媒介。正如Intezer安全研究人员所言:"LNK文件(即Windows快捷方式)看似简单,但威胁分子可用其执行其他二进制文件并造成严重危害"。
随着概念验证代码的公开,业界担忧该漏洞可能很快被威胁分子武器化用于实际攻击。
 

原文始发于微信公众号(FreeBuf):未修复的Windows快捷方式漏洞可导致远程代码执行,PoC已公布

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月4日02:55:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   未修复的Windows快捷方式漏洞可导致远程代码执行,PoC已公布https://cn-sec.com/archives/4027441.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息