Zero-Day em Arquivos LNK do Windows: 11 Grupos de Ameaças Exploram Falha Que a Microsoft "Mitigou" Sem Corrigir

Uma Brecha Escondida Entre Espaços em Branco

Uma vulnerabilidade identificada como CVE-2025-9491 em arquivos de atalho do Windows (.LNK) vem sendo explorada ativamente por ao menos 11 grupos de ameaças persistentes avançadas (APT) e organizações de crimes cibernéticos — e o que torna a situação ainda mais preocupante é que a Microsoft respondeu ao problema com uma alteração visual silenciosa, sem emitir um patch de segurança convencional. A falha permite que atacantes escondam comandos maliciosos em arquivos .LNK comuns, aproveitando uma limitação de exibição do sistema operacional: o Windows tradicionalmente mostrava apenas os primeiros 260 caracteres do campo de destino de um atalho. Tudo o que viesse depois permanecia invisível ao usuário — mas era executado normalmente pelo sistema.

Como a Exploração Funciona na Prática

A técnica é elegante em sua simplicidade. Os agentes maliciosos inserem centenas de caracteres de espaço em branco logo após o caminho aparentemente legítimo do atalho, empurrando os comandos reais para além da janela de 260 caracteres que o Windows exibia. Para a vítima, o arquivo parece um atalho inofensivo; para o sistema operacional, a instrução completa — incluindo o payload malicioso — é interpretada e executada sem qualquer alerta. Os arquivos manipulados geralmente chegam compactados em arquivos .ZIP distribuídos por meio de campanhas de phishing, contornando filtros de e-mail que bloqueiam anexos .LNK diretamente. Entre os malwares entregues por essa via estão o Ursnif, o Gh0st RAT, o TrickBot e o PlugX, ferramentas amplamente utilizadas tanto por grupos financeiramente motivados quanto por atores ligados a estados-nação.

Um Leque Extenso de Ameaças

A pesquisadora Trend Micro foi responsável por mapear a escala real da exploração: ao menos 11 grupos distintos estão se aproveitando da CVE-2025-9491. O conjunto inclui nomes bem conhecidos da comunidade de segurança, como Evil Corp — gangue russa especializada em fraudes financeiras —, APT37 e APT43 (também conhecido como Kimsuky), ambos ligados à Coreia do Norte, além de Mustang Panda, SideWinder, RedHotel, Konni e o grupo Bitter, que tem como alvo preferencial governos asiáticos. A amplitude dessa lista revela que a brecha foi adotada como vetor de ataque confiável por atores com objetivos muito distintos: espionagem governamental, roubo de propriedade intelectual e crime financeiro organizado. Soma-se a isso uma cadeia de exploração relacionada: a CVE-2026-32202, que permite o vazamento de hashes NTLM sem qualquer interação do usuário — bastando que o Windows Explorer renderize o conteúdo de uma pasta contendo um atalho manipulado para que as credenciais sejam transmitidas ao atacante.

A "Mitigação" que Não Fecha a Porta

A resposta da Microsoft ao problema levantou críticas na comunidade de segurança. A partir das atualizações de junho de 2025, a empresa alterou silenciosamente o comportamento do sistema para exibir a totalidade do campo de destino dos atalhos, em vez de truncar nos 260 caracteres. A mudança, porém, não elimina os argumentos maliciosos nem emite qualquer aviso ao usuário quando detecta strings incomumente longas. Em outras palavras, a exploração continua tecnicamente viável: o mecanismo subjacente permanece intacto. Diante dessa lacuna, a empresa de segurança ACROS Security desenvolveu e disponibilizou um micropatch não oficial por meio do projeto 0patch — solução que limita o campo de destino a 260 caracteres e alerta o usuário quando strings suspeitas são detectadas, corrigindo na prática o que a mitigação oficial deixou em aberto.

O Que Fazer Enquanto o Patch Definitivo Não Vem

Enquanto a Microsoft não emite uma correção formal para a CVE-2025-9491, especialistas recomendam cautela redobrada com arquivos .LNK recebidos por e-mail ou distribuídos dentro de arquivos compactados, mesmo quando aparentam ser legítimos. A adoção do micropatch do 0patch é uma alternativa para ambientes que exigem proteção imediata. Organizações com alto perfil de risco — especialmente aquelas em setores governamentais, financeiros ou de infraestrutura crítica — devem revisar suas políticas de bloqueio de extensões e fortalecer o monitoramento de tráfego SMB, dada a cadeia de ataque envolvendo roubo de hashes NTLM. A situação reforça um padrão que preocupa: mitigações parciais que fecham a visibilidade do problema sem eliminar o vetor de ataque podem criar uma falsa sensação de segurança enquanto a janela de exploração permanece aberta.

Fonte original: SempreUpdate — Zero-Day LNK no Windows: o que é e como a Microsoft "mitigou". Corroborado por BleepingComputer e SecurityWeek.