Win10/Win11快捷方式再爆漏洞：可伪装PDF文件执行恶意脚本

IT之家 2 月 13 日消息，科技媒体 bleepingcomputer 昨日（2 月 12 日）发布博文，报道称在 Wild West Hackin' Fest 活动中，安全研究员 Wietze Beukema 披露了多种 Windows LNK 快捷方式文件欺骗技术。

IT之家援引博文介绍，该技术利用了 Windows 资源管理器处理文件路径时的逻辑缺陷，攻击者通过在 LNK 文件中植入违禁字符（如双引号）或操纵数据结构，能制造出“表里不一”的恶意文件。

具体而言，攻击者可以修改文件内的 EnvironmentVariableDataBlock 结构，仅设置 ANSI 目标字段而留空 Unicode 字段。这导致用户在查看文件属性时，看到的是看似无害的“invoice.pdf”，但双击运行后，系统实际上会执行 PowerShell 脚本或其他恶意程序。

Beukema 已于 2025 年 9 月向微软安全响应中心（MSRC）提交了报告。然而，微软拒绝将此问题归类为安全漏洞，并表示不会立即修复。

微软发言人指出，此类利用技术必须诱导用户主动运行恶意文件，因此并未突破系统的安全边界。微软强调，Windows Defender 已具备识别此类威胁的能力，且 Smart App Control（智能应用控制）能提供额外的防护层，阻止来自互联网的恶意文件运行。微软建议用户严格留意系统弹出的“未知来源文件”安全警告。

尽管微软认为现有防护机制足以应对，Beukema 却对此表示担忧。他指出，攻击者之所以青睐 LNK 文件，是因为用户往往会习惯性地快速点击跳过安全警告。

为了帮助防御者识别此类威胁，Beukema 发布了名为 lnk-it-up 的开源工具套件。该工具不仅能模拟生成此类欺骗性 LNK 文件用于测试，还能预测资源管理器显示的内容与实际执行内容之间的差异，从而辅助识别潜在的恶意攻击。

回顾历史，微软对 LNK 漏洞的态度并非首次引发争议。此前被曝光的 CVE-2025-9491 漏洞（利用空白填充隐藏命令行参数）最初也未被微软视为安全边界突破。

该漏洞最早可以追溯到 2025 年 3 月，于 2025 年 8 月底被公开披露，一旦被攻击者利用，可以远程执行任意代码。有趣的是，微软最初曾表示该问题不符合其定义的安全漏洞标准，因此拒绝发布官方补丁。

然而，趋势科技（Trend Micro）和 Arctic Wolf 的调查显示，包括 Mustang Panda（针对欧洲外交官）、Evil Corp 和 APT37 在内的至少 11 个国家级黑客组织及网络犯罪团伙，长期利用该缺陷发动零日攻击。

面对严峻的安全形势，微软最终于 2025 年 12 月悄然修改 LNK 文件处理机制，以缓解这一被广泛滥用的漏洞。