Op het Wild West Hackin’ Fest heeft beveiligingsonderzoeker Wietze Beukema meerdere kwetsbaarheden in Windows LNK-snelkoppelingen onthuld waarmee aanvallers kwaadaardige code kunnen inzetten.

Beukema heeft vier onbekende technieken gedocumenteerd om Windows LNK-bestanden te manipuleren, zodat kwaadaardige doelen verborgen blijven voor gebruikers die de bestandseigenschappen bekijken.

LNK-snelkoppelingen zijn sinds Windows 95 beschikbaar en gebruiken een complex binaire formaat. Daardoor kunnen aanvallers bestanden creëren die in Windows Verkenner legitiem lijken, maar bij openen hele andere programma’s uitvoeren.

De ontdekte problemen maken gebruik van inconsistenties in hoe Windows Verkenner conflicterende paden binnen snelkoppelingsbestanden prioriteert.

De meest effectieve technieken gebruiken verboden Windows-padtekens, zoals dubbele aanhalingstekens, om ogenschijnlijk geldige maar technisch ongeldigde paden te creëren. Dit zorgt ervoor dat Verkenner één doel weergeeft maar een ander uitvoert. Een andere techniek gebruikt afwijkende LinkTargetIDList-waarden om een ander pad uit te voeren dan getoond in het LinkInfo-veld.

“Dit zorgt voor de vreemde situatie waarin de gebruiker één pad ziet, maar bij uitvoering een totaal ander pad wordt uitgevoerd. Omdat het veld is uitgeschakeld, is het ook mogelijk om alle opgegeven opdrachtregelargumenten te ‘verbergen’,” aldus Beukema.

De krachtigste techniek omvat het manipuleren van de EnvironmentVariableDataBlock-structuur binnen LNK-bestanden. Door alleen het ANSI-doelveld in te stellen en het Unicode-veld leeg te laten, kunnen aanvallers een nepdoel, zoals ‘factuur.pdf’, weergeven terwijl in werkelijkheid PowerShell of andere kwaadaardige commando’s worden uitgevoerd.

“Het openen van de LNK voert direct het ‘echte’ doel uit, zonder dat het tweemaal geopend hoeft te worden. Omdat in dit geval het vervalste doel in TargetIdList staat en het echte doel in EnvironmentVariableDataBlock, kunnen omgevingsvariabelen worden gebruikt,” legt Beukema uit.

De onderzoeker heeft ook “lnk-it-up” uitgebracht, een open-sourcetool die LNK-bestanden met deze technieken genereert voor testdoeleinden en mogelijk schadelijke LNK-bestanden kan identificeren door te voorspellen wat Verkenner toont versus wat daadwerkelijk wordt uitgevoerd.

## MSRC: Geen kwetsbaarheid

Toen Beukema het probleem bij het Microsoft Security Response Center indiende, weigerde Microsoft dit als een beveiligingslek te classificeren, met het argument dat uitbuiting gebruikersinteractie vereist en geen beveiligingsgrenzen doorbreekt.

“Deze technieken voldoen niet aan de criteria voor onmiddellijke dienstverlening omdat een aanvaller een gebruiker moet misleiden om een kwaadaardig bestand uit te voeren,” vertelde een Microsoft-woordvoerder aan BleepingComputer.

“Microsoft Defender heeft detecties om deze bedreiging te identificeren en te blokkeren, en Smart App Control biedt een extra beschermingslaag door kwaadaardige bestanden van internet te blokkeren. We raden klanten sterk aan om beveiligingswaarschuwingen serieus te nemen en geen bestanden van onbekende bronnen te openen.”

Microsoft merkt verder op dat Windows snelkoppelingsbestanden (.lnk) als potentieel gevaarlijk identificeert en bij pogingen om een .lnk-bestand van internet te openen automatisch een waarschuwing laat zien.

Beukema voegt echter toe dat “gebruikers nog steeds snel door zulke waarschuwingen klikken. Anders was CVE-2025-9491 niet zo ‘succesvol’ geweest.”

CVE-2025-9491, de beveiligingskwetsbaarheid die door beveiligingsonderzoekers wordt genoemd, is vergelijkbaar met de problemen die Beukema ontdekte en kan worden misbruikt om opdrachtregelargumenten te verbergen door gebruik van overmatige witruimte. Cybercriminelen en door staten gesteunde hackers uit Noord-Korea, Iran, Rusland en China maken al jaren misbruik van dit lek in zero-day-aanvallen.

Hoewel Microsoft aanvankelijk zei dat CVE-2025-9491 geen beveiligingsgrenzen doorbrak en weigerde het probleem op te lossen, veranderde men in juni 2025 in stilte LNK-bestanden om deze actief uitgebuite kwetsbaarheid te verhelpen.

Volgens Trend Micro-analisten werd CVE-2025-9491 al uitgebreid uitgebuit door minstens 11 door de staat gesponsorde groepen en cybercriminelen.

Cybersecuritybedrijf Arctic Wolf meldde daarnaast dat de Chinese Mustang Panda-groep deze kwetsbaarheid uitbuitte in zero-day-aanvallen op Europese diplomaten om de PlugX-malware te installeren.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.