PR

Microsoft、Windows LNK脆弱性CVE-2025-9491を静かに修正

Security

Source:https://thehackernews.com/2025/12/microsoft-silently-patches-windows-lnk.html

🛡 概要

Microsoftは2025年11月のPatch Tuesdayで、長年多数の脅威アクターに悪用されてきたWindowsのショートカット(.LNK)に関する脆弱性CVE-2025-9491(CVSS v3.1: 7.8/High)を静かに修正した。ACROS Securityの0patchが検証した内容によれば、本件は「UIの誤解釈」によりLNKの実行内容がエクスプローラーのプロパティ画面で正しく表示されない問題に起因し、結果としてユーザー権限でのリモートコード実行(RCE)に至り得る。Trend Micro ZDIは本欠陥(ZDI-CAN-25373)が2017年以降、中国・イラン・北朝鮮・ロシア関与グループを含む複数の国家系攻撃で使われたと報告。HarfangLabはXDSpyによるXDigo(Go製マルウェア)投下、Arctic Wolfは欧州政府・外交機関向けのPlugX配布事例を観測している。

🔍 技術詳細

本脆弱性は、WindowsがLNKファイルの「ターゲット」および引数をUI上に表示する際の扱いに問題があり、実際に実行されるコマンド全体がユーザーから見えにくくなる点にある。LNKの構造上は数万文字(理論上約32KB)までの長い引数が許容される一方、従来のプロパティダイアログは先頭の約260文字のみを表示し、それ以降を切り捨てていた。このため攻撃者は、前半260文字を無害に見せつつ、その後方に本来の悪性コマンドを埋め込むことで、ユーザーによる目視点検をすり抜けられた。また、Unicodeの不可視空白や空白類似文字を混在させることで可読性を下げ、内容の把握をさらに困難にする手口も報告されている。Microsoftの修正は、LNKのプロパティでターゲットと引数を長さに関わらず全量表示する挙動を導入することでUI上の不可視性を解消するもの。0patchのマイクロパッチは別アプローチとして、260文字を超える引数を持つLNKを開こうとした際に警告を出し、実運用で観測された攻撃連鎖の撹乱を狙う。悪用時は、LNKが文書やフォルダに見えるよう偽装(アイコン・ファイル名)され、ユーザーがダブルクリックすると、cmd.exe/powershell.exe/rundll32.exe/mshta.exe等のロジックを引数により起動してペイロード実行へ繋げる流れが一般的である。メール添付、アーカイブ内同梱、リムーバブルメディア、ネットワーク共有など多様な配布経路が確認されている。

⚠ 影響

  • ユーザー権限で任意コード実行。EDR回避を狙い、OS標準コンポーネント(LOLBins)を仲介して多段起動されると検知が遅れる。
  • 初期侵入後の認証情報窃取、横展開、データ窃取・暗号化(ランサム)へ連鎖。
  • Outlook等ではLNKが既定でブロック・警告対象だが、ZIP/ISO経由や共有フォルダ、USB経由では開かれやすい。

🛠 対策

  • パッチ適用:2025年11月の累積更新(該当OS)を最優先で展開。資産インベントリと脆弱性スキャンで適用漏れを可視化。
  • アプリ制御:WDACまたはAppLockerで、LNKからのcmd.exe、powershell.exe、rundll32.exe、mshta.exe等の起動を原則禁止し、必要最小限の許可リスト方式に。
  • メール/ゲートウェイ:LNK添付(およびアーカイブ内のLNK)を検疫・隔離。コンテンツフィルタで拡張子二重(.pdf.lnk等)と過剰に長いパス・引数を検出。
  • エクスプローラー設定:既定で「登録されている拡張子は表示しない」を無効化し、拡張子を常時表示。怪しいアイコン・拡張子不一致を教育。
  • PowerShell制限:Constrained Language Mode、スクリプトブロック/モジュールログ/トランスクリプションを有効化し、未署名スクリプト実行を抑止。
  • SmartScreen/MOTW:インターネットゾーン由来ファイルのゾーン情報(Mark of the Web)保存を有効化し、警告を強制。
  • USB/共有対策:リムーバブルメディアからのLNK実行をグループポリシー/デバイス制御で制限。SMB共有にファイルスクリーニングを導入。
  • 未修正環境の暫定策:0patch等のマイクロパッチ導入やEDRの抑止ポリシーで高リスク連鎖を一時封じ込め。

📌 SOC視点

  • プロセス生成監視:Windows Security 4688(コマンドライン含む)、Sysmon Event ID 1(Process Create)。親子関係例:explorer.exe/メールクライアント/アーカイバ → cmd.exe/powershell.exe/rundll32.exe/mshta.exe。
  • コマンドライン特徴:引数長が異常(例:260文字超級)、不可視空白や大量スペース、-enc/-EncodedCommand等の難読化。
  • ファイル痕跡:.lnkの作成・展開(Sysmon 11 FileCreate)。拡張子二重(*.pdf.lnk)、MOTW付きのダウンロード由来LNKの実行試行。
  • PowerShell監視:Event ID 4104(Script Block Logging)、疑わしいWeb取得/実行連鎖やBase64デコード。
  • EDRハント例:1) 親=explorer.exe AND 子 IN [cmd.exe,powershell.exe,rundll32.exe,mshta.exe] AND コマンドライン長>260、2) *.lnkからの子プロセス生成でMOTW=ZoneId=3(Internet)。

📈 MITRE ATT&CK

  • T1204.002(User Execution: Malicious File): ユーザーがLNKを実行することでコード実行に至る。
  • T1036(Masquerading): 文書風のアイコン/名称でLNKを偽装。
  • T1059(Command and Scripting Interpreter): LNK引数からcmd.exeやPowerShellを起動。
  • T1566(Phishing): メール添付/リンク経由でLNKを配布する事例が複数報告。

🏢 組織規模別助言

  • 小規模(〜50名): まず全端末にパッチ適用。拡張子表示とSmartScreen有効化、メールでLNKブロック。EDRが未導入なら少なくとも4688のコマンドライン記録を有効化。
  • 中規模(50〜500名): WDAC/AppLockerのポリシーでLNK→LOLBins起動を抑止。PowerShellの監査強化、メール/HTTPゲートウェイでLNKと長大引数の検査を実施。USB制御を段階導入。
  • 大規模(500名以上): パッチ準拠の継続監査(SLAs)、ASR/EDR抑止ポリシーを段階的に強化。KQL等でハンティング定例化(長大コマンドライン、親子関係異常)。SOARで自動隔離フローを整備。

🔎 類似事例

  • CVE-2010-2568(StuxnetのLNK RCE): リムーバブルメディア経由のLNK実行悪用。
  • CVE-2017-8464(Windows LNK RCE): ショートカット処理に起因するRCE。
  • CVE-2023-38831(WinRAR): アーカイブ内の細工でユーザー操作を誘導して任意実行。
  • ZDI-CAN-25373: 本件のZDIトラッキングID。

🧭 次の一手

  • パッチ適用状況を即日棚卸しし、未適用端末を隔離・優先適用。
  • 「LNKからのLOLBins起動抑止」ポリシーをテスト→本番適用。
  • ハンティング実施:過去90日で「親=explorer.exeかつ子=cmd/powershell/rundll32/mshta」「コマンドライン>260文字」「.pdf.lnk等」を抽出。
  • ユーザー教育:拡張子表示の確認、LNK警告の遵守、外部由来のショートカットは開かない。