Спустя восемь лет Microsoft незаметно устранила дыру в безопасности, позволявшую вести слежку за дипломатами.

Исправления от Microsoft уже почти никто не ожидал, однако компания неожиданно закрыла давнюю уязвимость в Windows, которая долгие годы использовалась в реальных кибершпионских операциях. Обновление вошло в ноябрьский пакет Patch Tuesday и прошло практически без огласки. О факте устранения проблемы стало известно благодаря исследователям из 0patch — именно они отметили, что уязвимость активно эксплуатировалась различными группами как минимум с 2017 года.

Недочёт получил номер CVE-2025-9491 и был связан с обработкой файлов-ярлыков LNK. Из-за ошибки в интерфейсе Windows часть команд, встроенных в ярлык, не отображалась в свойствах файла, что позволяло скрывать выполнение дополнительного кода. Злоумышленники формировали ярлыки так, чтобы они выглядели как обычные документы, используя хитрые приёмы маскировки и невидимые символы.

Интерес к этой брешь впервые вспыхнул весной 2025 года, когда специалисты сообщили: механизм применяли одиннадцать государственно поддерживаемых хакерских групп из Китая, Ирана и КНДР. Они использовали его в кампаниях, связанных с разведывательной деятельностью, кражей данных и финансовыми атаками. Тогда же уязвимость была известна под кодом ZDI-CAN-25373. Microsoft в тот период утверждала, что ситуация не требует срочных мер, поскольку система уже предупреждает пользователей об открытии сомнительных ярлыков, а в ряде приложений формат LNK вообще заблокирован.

Позднее HarfangLab сообщила, что ту же ошибку использовала группа XDSpy, чтобы распространять вредоносное ПО XDigo в атаках на государственные структуры в Восточной Европе. А осенью 2025 года Arctic Wolf зафиксировала очередную волну злоупотреблений — теперь уже со стороны китайских сетевых группировок, которые охотились за дипломатическими и госучреждениями Европы, применяя известный вредонос PlugX. Несмотря на это, Microsoft вновь подчеркнула, что считает риск ограниченным, поскольку для атаки требуется действие со стороны пользователя.

По данным 0patch, проблема оказалась глубже, чем просто скрытый фрагмент команды. Формат LNK поддерживает очень длинные строки, но окно свойств показывало лишь небольшой их фрагмент без предупреждения — всё остальное оставалось невидимым. Разработчики 0patch выпустили собственное решение, которое добавляло предупреждение при попытке открыть ярлык с чрезмерно длинными аргументами.

Официальный патч Microsoft исправил ситуацию иначе: теперь поле Target отображает всю строку целиком, независимо от её длины. Представитель компании прямо не подтвердил выпуск обновления, но сообщил, что Microsoft продолжает совершенствовать интерфейс и защитные механизмы, а пользователям рекомендуют придерживаться общих правил кибербезопасности.