Voilà plus de huit ans que plusieurs groupes APT exploitent activement une faille zero-day dans Windows 11. Très au courant de la situation, Microsoft refuse toujours de s’attaquer au cœur du problème, au point d’obliger un éditeur tiers à publier un patch non officiel pour bloquer les attaques en cours.
Pour le rappel historique, Trend Micro alertait déjà en mars sur l’ampleur de la vulnérabilité des raccourcis Windows, exploitée depuis 2017 par une dizaine de groupes APT pour glisser des commandes malveillantes dans les propriétés de raccourcis de fichiers lambda. À l’époque, Microsoft avait balayé la menace d’un revers, estimant qu’il ne s’agissait que d’un problème d’affichage et que la situation ne justifiait pas de correctif prioritaire. Pourtant, les attaques se sont poursuivies, jusqu’à viser en octobre des diplomates européens en Hongrie, en Belgique et dans d’autres pays voisins afin de déployer le RAT PlugX via de faux documents. Face à cette exploitation continue, Redmond s’est finalement résolue à ajuster la gestion des raccourcis dans la mise à jour de novembre, sans patcher la vulnérabilité à proprement parler.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une faiblesse de conception exploitée depuis des années
Pour rappel, la faille en question (CVE-2025-9491) touche la manière dont Windows construit et interprète les fichiers de raccourci *.lnk. Chacun de ces éléments embarque un champ Cible qui indique le programme à lancer au double-clic, ainsi que d’éventuels arguments de ligne de commande. C’est dans cette zone que les groupes APT injectent leur charge. Ils utilisent un chemin légitime au début, puis ajoutent une longue séquence d’espaces pour repousser la partie malveillante hors des 260 premiers caractères affichés dans les propriétés du raccourci. À l’écran, le fichier semble pointer vers une application parfaitement ordinaire, alors qu’il embarque en réalité une commande capable de charger un loader, un RAT ou un dropper.
Les campagnes identifiées depuis 2017 exploitent systématiquement ce défaut d’affichage. Les raccourcis piégés sont distribués dans des archives, des pièces jointes ou via des supports amovibles, et passent facilement les premiers filtres humains puisque rien, dans leur apparence, ne laisse présager un comportement suspect. Une fois déclenchée, la commande dissimulée assure la livraison de la charge malveillante choisie, qu’il s’agisse d’Ursnif, de PlugX, de Gh0st RAT ou d’outils conçus pour installer une persistance discrète.
Une retouche côté Microsoft, un vrai patch de sécurité côté ACROS
À l’époque, Microsoft avait estimé que cette « petite » faiblesse ne méritait pas de figurer dans sa liste de priorités, promettant vaguement qu’elle se pencherait un jour sur la question, sans s’engager davantage. Entre-temps, la découverte de Trend Micro a rejoint le catalogue du NIST et s’est retrouvée gratifiée d’un score CVSS de 7,8. Oui, 7,8. Pour un « simple défaut d’affichage », ça fait beaucoup.
Difficile de savoir si l'actualisation du score de gravité a servi de déclencheur, mais les faits sont là. Quelques semaines plus tard, la mise à jour de novembre contient une petite surprise. Windows 11 affiche désormais l’intégralité du champ Cible dans les propriétés d’un raccourci. Fin des chaînes tronquées à 260 caractères, et fin des commandes malveillantes repoussées hors champ, donc. Une atténuation discrète, certes, mais toujours pas un correctif.
Microsoft n’a d’ailleurs jamais présenté cette modification comme un correctif de sécurité. Elle ne figure dans aucun billet, n’apparaît pas dans la liste des failles officiellement patchées et n’a fait l’objet d’aucun commentaire public. Ce sont les chercheurs d’ACROS Security qui ont fini par remonter l’information, en constatant eux-mêmes le changement sur leurs PC.
En tout état de cause, Redmond n’en démord pas et estime que la responsabilité revient aux avertissements existants et au comportement de l’utilisateur final. Dans la mesure où personne (ou presque) ne contrôle jamais les propriétés des liens de raccourcis, autant coller un pansement sur une hémorragie. Une logique de discours qui a fini par pousser ACROS à s’emparer du problème pour de bon, et à publier un patch non officiel qui limite la longueur des chaînes inscrites dans ce fameux champ Cible et signale immédiatement les raccourcis suspects.
Détail qui n’en est pas un, toutefois : ce correctif n’est accessible qu’aux abonnés PRO et Enterprise de la plateforme 0patch. Pour les autres… il faudra continuer à serrer les dents.
Source : BleepingComputer
