Microsoft Sebut Teknik Spoofing Windows LNK Terbaru Bukan Kerentanan Keamanan
Microsoft menyatakan bahwa sejumlah teknik spoofing terbaru pada file shortcut Windows (.LNK) yang diungkap peneliti keamanan bukanlah kerentanan keamanan resmi, meskipun metode tersebut memungkinkan pelaku ancaman menyamarkan payload berbahaya.
Temuan ini dipresentasikan oleh peneliti keamanan Wietze Beukema dalam ajang Wild West Hackinβ Fest. Ia mengungkap empat teknik baru yang dapat dimanfaatkan untuk memanipulasi file LNK sehingga target eksekusi sebenarnya tersembunyi dari pengguna yang memeriksa properti file di Windows Explorer.
Manipulasi Struktur Internal File LNK
File shortcut LNK diperkenalkan sejak Windows 95 dan menggunakan format biner kompleks dengan berbagai struktur data opsional. Kompleksitas inilah yang dimanfaatkan untuk menciptakan inkonsistensi antara jalur target yang ditampilkan dan program yang benar-benar dijalankan saat file dibuka.
Beukema menemukan bahwa Windows Explorer memprioritaskan jalur target berbeda ketika terdapat konflik di beberapa struktur internal file. Dengan memanfaatkan perilaku ini, penyerang dapat membuat shortcut yang tampak mengarah ke file sah, tetapi sebenarnya mengeksekusi perintah berbeda.
Salah satu teknik menggunakan karakter jalur Windows yang dilarang, seperti tanda kutip ganda, untuk membentuk path yang terlihat valid namun secara teknis tidak sah. Explorer kemudian menampilkan satu target, sementara sistem mengeksekusi target lain.
Teknik lain memanfaatkan nilai LinkTargetIDList yang tidak sesuai standar untuk memaksa eksekusi path berbeda dari yang tercantum pada field LinkInfo.
Penyalahgunaan EnvironmentVariableDataBlock
Metode paling kuat yang diidentifikasi melibatkan manipulasi struktur EnvironmentVariableDataBlock dalam file LNK.
Dengan hanya mengisi field target versi ANSI dan membiarkan field Unicode kosong, pelaku dapat menampilkan target palsu seperti βinvoice.pdfβ di jendela properti, sementara file sebenarnya mengeksekusi PowerShell atau perintah berbahaya lainnya.
Dalam skenario ini, perintah dijalankan langsung saat file dibuka tanpa perlu interaksi tambahan. Selain itu, argumen command-line juga dapat disembunyikan sepenuhnya dari tampilan properti, sehingga menyulitkan deteksi oleh pengguna.
Beukema menilai pendekatan ini sangat efektif karena Windows Explorer tetap memproses file LNK yang cacat tersebut secara toleran, alih-alih menolaknya sebagai tidak valid.
Untuk membantu penelitian dan pengujian, ia juga merilis tool open-source bernama βlnk-it-upβ yang dapat menghasilkan file LNK dengan teknik spoofing tersebut sekaligus mendeteksi perbedaan antara tampilan Explorer dan eksekusi aktual.
Respons Microsoft: Bukan Kerentanan
Beukema telah melaporkan salah satu teknik ini ke Microsoft Security Response Center (MSRC) pada September lalu. Namun, Microsoft menolak mengklasifikasikannya sebagai kerentanan keamanan.
Menurut Microsoft, teknik tersebut tetap memerlukan interaksi penggunaβyakni pengguna harus membuka file berbahayaβdan tidak melanggar batas keamanan sistem.
Perusahaan menegaskan bahwa Microsoft Defender telah memiliki deteksi untuk aktivitas terkait, dan Smart App Control dapat memblokir file berbahaya yang berasal dari Internet. Windows juga secara otomatis menampilkan peringatan keamanan ketika pengguna mencoba membuka file .LNK yang diunduh dari sumber eksternal.
Microsoft mendorong pengguna untuk memperhatikan peringatan keamanan dan menghindari membuka file dari sumber yang tidak dikenal.
Riwayat Eksploitasi LNK
Meski demikian, Beukema menyoroti bahwa file LNK kerap digunakan dalam kampanye serangan karena banyak pengguna terbiasa mengabaikan peringatan keamanan.
Ia merujuk pada kasus CVE-2025-9491, celah serupa yang memungkinkan penyembunyian argumen command-line melalui padding spasi berlebihan. Kerentanan tersebut telah dimanfaatkan dalam serangan zero-day oleh berbagai kelompok siber, termasuk aktor negara dan kelompok kriminal.
Awalnya Microsoft juga tidak menganggap CVE-2025-9491 sebagai pelanggaran batas keamanan. Namun pada Juni 2025, perusahaan diam-diam melakukan perubahan pada penanganan file LNK yang diyakini sebagai langkah mitigasi terhadap eksploitasi aktif.
Kasus terbaru ini kembali memunculkan perdebatan tentang batas klasifikasi kerentanan keamanan, khususnya pada fitur yang memerlukan rekayasa sosial untuk dapat dieksploitasi.
