Une société tierce de gestion de correctifs réduit l’utilisation des fichiers LNK par les attaquants pour introduire clandestinement des commandes malveillantes, tandis que Microsoft préfère raconter toute l’histoire.
Un problème de longue date concernant la façon dont Windows gère les fichiers de raccourci LNK, dont les attaquants abusent depuis des années pour cacher les commandes malveillantes à la vue de tous, pourrait enfin avoir été résolu, avec plus d’un correctif désormais disponible pour les utilisateurs.
Le problème était que les acteurs malveillants pouvaient masquer une charge utile nuisible dans le champ Cible d’un fichier LNK téléchargé depuis Internet, en ajoutant des espaces afin que la charge utile soit cachée à toute personne inspectant le champ.
Microsoft a hésité à classer le problème comme vulnérabilité.
« Nous avons enquêté sur ce rapport et déterminé qu’il ne répond pas aux critères de classification en tant que vulnérabilité », a déclaré Microsoft dans un avis de novembre 2025. « Microsoft Defender a mis en place des détections pour détecter et bloquer cette activité de menace, et Smart App Control fournit une couche de protection supplémentaire en bloquant les fichiers malveillants sur Internet. »
Cependant, le fournisseur de correctifs tiers 0patch a noté dans un article de blog qu’une récente mise à jour de Windows résolvait discrètement le problème en forçant le champ Cible à afficher tous les arguments. Même ainsi, a déclaré la société, l’exploit peut encore réussir. Il a déclaré que son propre micropatch offrait une solution plus efficace.
Les deux correctifs arrivent après des années d’exploitation des fichiers LNK par des groupes APT de Corée du Nord, d’Iran, de Russie et, plus récemment, par une campagne liée à la Chine contre des diplomates européens.
Le correctif de Microsoft
Les fichiers de raccourci Windows (.lnk) constituent depuis longtemps une cachette pratique pour les attaquants, car l’Explorateur Windows n’affichait que les 260 premiers caractères de la commande dans les propriétés d’un raccourci. Tout ce qui était ajouté après une longue chaîne d’espaces restait invisible pour l’utilisateur.
Le problème est suivi comme CVE-2025-9491, les analystes de sécurité attribuant une note CVSS de haute gravité de 7,0.
« Une structure de fichier .lnk permet aux arguments cibles d’être une chaîne très longue (des dizaines de milliers de caractères), mais la boîte de dialogue ‘Propriétés’ n’affiche que les 260 premiers caractères, coupant silencieusement le reste », ont déclaré les chercheurs de 0patch. « Il est donc possible de créer un fichier .lnk qui exécute un très long script PowerShell ou BAT, mais seuls les 260 premiers caractères de celui-ci seraient affichés à l’utilisateur qui a consulté ses propriétés. » Ces caractères affichés peuvent être principalement des espaces, repoussant l’élément malveillant complètement hors de vue.
Pour la victime, le fichier .lnk semblait ouvrir un dossier ou lancer une application fiable, mais en réalité, il pouvait exécuter un script arbitraire, un compte-gouttes ou une commande de subsistance.
Les chercheurs de 0patch confirment que le problème a été quelque peu résolu après que Microsoft ait discrètement intégré un correctif dans ses mises à jour Windows de novembre. « Il n’y a eu aucune mention de quoi que ce soit semblable à ce problème parmi ses 63 vulnérabilités corrigées », ont déclaré les chercheurs, ajoutant que le correctif avait probablement été appliqué sous le couvert d’un bug fonctionnel plutôt que d’une faille de sécurité.
0patch prétend que son patch est meilleur
0patch a un problème avec le correctif de Microsoft, qui, selon lui, corrige uniquement la partie de l’interface utilisateur (visibilité) et non le comportement sous-jacent de Windows (exécution d’une commande malveillante). L’hypothèse derrière le correctif de Microsoft est que les utilisateurs peuvent repérer manuellement les commandes malveillantes dans les champs cibles .lnk plus longs une fois qu’ils sont entièrement affichés.
0patch affirme qu’il est susceptible d’échouer pour deux raisons. Premièrement, seuls les utilisateurs informatiques expérimentés peuvent déterminer si le champ Cible contient des exécutables malveillants simplement en les regardant. Et deuxièmement, dans la plupart des cas légitimes, les fichiers .lnk avec des champs cibles de plus de 260 caractères sont créés par programme (à l’aide de l’API Windows) et sont par défaut traités automatiquement par l’Explorateur Windows et non manuellement.
Ainsi, le correctif de Microsoft permet toujours à un script malveillant caché de s’exécuter si l’utilisateur ne parvient pas à le reconnaître et à le bloquer.
Pour résoudre ce problème, 0patch propose son propre micropatch pour les versions de Windows 7 à 11 22H2 et Windows Server de 2008 R2 à 2022. Si un processus ouvre un fichier .lnk via l’Explorateur Windows et que le champ Cible dépasse 260 caractères, il tronque simplement la cible à 260 caractères et affiche un avertissement indiquant qu’un raccourci suspect a été raccourci. Cela alerte l’utilisateur et empêche l’exécution malveillante, et 0patch affirme que le correctif a réussi à gérer plus de 1 000 raccourcis malveillants précédemment identifiés par Trend Micro.
