CVE-2025-9491 adalah kerentanan serius pada Windows LNK files yang telah dieksploitasi oleh banyak kelompok peretas negara dan geng siber. Celah ini memungkinkan penyerang menyembunyikan perintah berbahaya di dalam file shortcut (.lnk), yang kemudian dapat digunakan untuk menyebarkan malware dan mempertahankan akses pada perangkat korban.
π Cara Eksploitasi
- File .lnk dimodifikasi dengan menambahkan whitespace pada Target field.
- Windows hanya menampilkan 260 karakter pertama, sehingga perintah berbahaya tersembunyi dari pengguna.
- File berbahaya biasanya dikirim dalam bentuk ZIP/arsip, karena email sering memblokir lampiran .lnk.
- Serangan membutuhkan interaksi pengguna (double-click).
π¨ Aktor Ancaman yang Terlibat
Menurut Trend Micro, sejak Maret 2025 kerentanan ini sudah dieksploitasi oleh setidaknya 11 kelompok, termasuk:
- Evil Corp
- Bitter
- APT37 & APT43 (Kimsuky)
- Mustang Panda
- SideWinder
- RedHotel
- Konni
Payload yang digunakan mencakup Ursnif, Gh0st RAT, Trickbot, hingga PlugX RAT (dilaporkan oleh Arctic Wolf Labs dalam serangan ke diplomat Eropa).
π Respons Microsoft
- Awalnya Microsoft menyatakan bug ini tidak memenuhi kriteria untuk perbaikan segera, karena melibatkan interaksi pengguna.
- November 2025: update Windows diam-diam mengubah tampilan Target field agar seluruh string terlihat, bukan hanya 260 karakter.
- Namun, ini bukan perbaikan penuh:
- Perintah berbahaya tetap ada.
- Tidak ada peringatan tambahan bagi pengguna.
π§ Patch Tidak Resmi dari ACROS Security
- 0Patch micropatch membatasi panjang Target string ke 260 karakter.
- Memberikan peringatan jika shortcut memiliki target string yang tidak biasa.
- Menurut CEO ACROS, patch ini dapat menghentikan lebih dari 1000 shortcut berbahaya yang terdeteksi di alam liar.
- Tersedia untuk pengguna PRO/Enterprise pada Windows versi end-of-support.
π Kesimpulan
Microsoft tampaknya memilih mitigasi diam-diam daripada patch penuh, sementara komunitas keamanan menilai celah ini tetap berbahaya. Dengan eksploitasi aktif oleh kelompok besar, solusi pihak ketiga seperti 0Patch menjadi opsi penting bagi pengguna yang ingin perlindungan tambahan.
Sumber: Trend Micro, Arctic Wolf Labs, BleepingComputer, ACROS Security