在資安威脅日益嚴峻的背景下，軟體廠商對已遭利用的零時差漏洞進行修復的時機與方式，常成為社群關注的焦點。近期，微軟針對一項高嚴重性的 Windows LNK 檔案漏洞採取了行動，該漏洞編號為 CVE-2025-9491，允許惡意行為者巧妙地避開傳統偵測並執行惡意程式碼。

微軟悄悄地「緩解」了一個嚴重的 Windows LNK 漏洞，該漏洞曾被多個國家支持的駭客組織和網路犯罪駭客組織用於零時差攻擊。此安全漏洞編號為CVE-2025-9491，攻擊者可利用此漏洞將惡意指令隱藏在 Windows LNK 檔案中，從而部署惡意軟體並在受感染裝置上持久駐留。 趨勢科技威脅分析師在 2025 年 3 月發現，CVE-2025-9491 已被11 個國家支持的組織和網路犯罪集團廣泛利用，包括 Evil Corp、Bitter、APT37、APT43（又稱 Kimsuky）、Mustang Panda、SideWinder、RedHotel、Konni 等。 威脅行為者將這些檔案以 ZIP 或其他壓縮檔案的形式分發，因為電子郵件平台通常會封鎖 .lnk 附件，因為它們具有風險性。這個漏洞在於 Windows 處理 .LNK 檔案的方式，攻擊者可以利用作業系統顯示這些檔案的方式來逃避偵測，並透過在 Windows .LNK 檔案中的 Target 欄位中填充空格來隱藏惡意命令列參數，從而在使用者不知情的情況下在易受攻擊的裝置上執行程式碼。 這樣可以確保由於添加了空格，文件的「目標」字段屬性只顯示前 260 個字符，因此用戶在雙擊 LNK 文件時看不到實際執行的命令。 微軟在 3 月告訴 BleepingComputer，它將「考慮解決」這個零日漏洞，儘管它「沒有達到立即修復的標準」。該公司還在11 月的一份公告中補充說，由於涉及用戶交互，並且系統已經警告用戶此格式不受信任，因此不認為這是一個漏洞，儘管威脅行為者仍然可以利用 Mark of the Web 繞過漏洞來規避這些警告並確保其攻擊成功。 儘管如此，正如 ACROS Security 執行長兼 0patch 聯合創始人 Mitja Kolsek 所發現的那樣，微軟在 11 月的更新中悄悄地修改了 LNK 文件，顯然是為了緩解 CVE-2025-9491 漏洞。

微軟雖未公開宣稱這是一項修復，但十一月更新中調整 LNK 檔案的處理方式，讓用戶在查看屬性時能看見超過 260 個字符的完整 Target 欄位，確實破壞了過去攻擊者利用空格隱藏惡意指令的手法。然而，資安專家指出這並非完整的修補方案，因它未刪除惡意參數或主動警告。為此，第三方安全廠商 0patch 提供了非官方微修補程式，限制所有 LNK 捷徑目標字串在 260 字符，並對超長字串發出警告，為用戶在官方修補到位前提供了額外保護，尤其對仍在使用舊版 Windows 的用戶來說，這是重要的安全緩衝。

資料來源：https://www.bleepingcomputer.com/news/microsoft/microsoft-mitigates-windows-lnk-flaw-exploited-as-zero-day/