Windows là một hệ điều hành quá lớn, nên luôn có những góc khuất dễ xuất hiện lỗi và bị hacker khai thác, thậm chí ngay cả tính năng quen thuộc như shortcut (lối tắt). Mãi đến gần đây, Microsoft mới khắc phục một rủi ro tồn tại từ lâu trong tính năng này.
Hầu hết mọi người đều biết đuôi shortcut là .lnk, nhưng không phải ai cũng biết shortcut có thể chứa tham số dòng lệnh trong phần thuộc tính. Đây vốn là một tính năng rất tiện lợi ví dụ như khi chạy game Diablo hay Warcraft, tôi từng dùng nó để khởi chạy các client ở những khu vực khác nhau.
Thực tế thì nhiều người có thể đã từng bị “dính đòn” mà không hay biết. Thời gian trước đây, nhiều phần mềm, thậm chí là các ứng dụng rác thường chèn các tham số đặc biệt vào shortcut để chiếm quyền trang chủ trình duyệt, ngăn người dùng đổi lại, và những hành vi tương tự.
Chính vì thế, tính năng này cũng trở thành mục tiêu của hacker. Chỉ cần người dùng mở shortcut bị chỉnh sửa, họ có thể trở thành nạn nhân. Ít nhất là từ năm 2017 đã có kiểu tấn công này xuất hiện.
Lỗi bảo mật này được đánh mã CVE-2025-9491, nhưng suốt nhiều năm Microsoft không sửa, thậm chí từng từ chối bản sửa lỗi do một công ty bảo mật đề xuất, vì Microsoft cho rằng mức độ nguy hiểm thấp và không đáp ứng tiêu chuẩn dịch vụ.
Trong thông báo phát hành ngày 31/10, Microsoft cũng giải thích rằng họ đã xem xét báo cáo từ công ty bảo mật nhưng đánh giá nó không đủ tiêu chuẩn để xếp vào lỗ hổng. Theo họ, Microsoft Defender đã có khả năng phát hiện và chặn hành vi tấn công liên quan, còn Smart App Control cũng giúp ngăn các file độc hại tải xuống từ Internet.
Thực tế thì nhiều người có thể đã từng bị “dính đòn” mà không hay biết. Thời gian trước đây, nhiều phần mềm, thậm chí là các ứng dụng rác thường chèn các tham số đặc biệt vào shortcut để chiếm quyền trang chủ trình duyệt, ngăn người dùng đổi lại, và những hành vi tương tự.
Chính vì thế, tính năng này cũng trở thành mục tiêu của hacker. Chỉ cần người dùng mở shortcut bị chỉnh sửa, họ có thể trở thành nạn nhân. Ít nhất là từ năm 2017 đã có kiểu tấn công này xuất hiện.
Lỗi bảo mật này được đánh mã CVE-2025-9491, nhưng suốt nhiều năm Microsoft không sửa, thậm chí từng từ chối bản sửa lỗi do một công ty bảo mật đề xuất, vì Microsoft cho rằng mức độ nguy hiểm thấp và không đáp ứng tiêu chuẩn dịch vụ.
ZDI-CAN-25373 Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns
Trend Zero Day Initiative™ (ZDI) uncovered both state-sponsored and cybercriminal groups extensively exploiting ZDI-CAN-25373 (aka ZDI-25-148), a Windows .lnk file vulnerability that enables hidden command execution.
Trong thông báo phát hành ngày 31/10, Microsoft cũng giải thích rằng họ đã xem xét báo cáo từ công ty bảo mật nhưng đánh giá nó không đủ tiêu chuẩn để xếp vào lỗ hổng. Theo họ, Microsoft Defender đã có khả năng phát hiện và chặn hành vi tấn công liên quan, còn Smart App Control cũng giúp ngăn các file độc hại tải xuống từ Internet.
BÀI MỚI ĐANG THẢO LUẬN