Onyx
12. 09. 2025 11:13
Zdroj: Vygenerováno pomocí AI
Zástupci souborů ve Windows, známé jako LNK soubory, skrývají kritickou
zranitelnost, kterou už delší dobu aktivně zneužívají útočníci po celém
světě. Problém spočívá v tom, že do těchto zástupců lze snadno ukrýt
škodlivý kód, aniž by si uživatel všiml čehokoli podezřelého. Přestože
je riziko vysoké, Microsoft se prozatím rozhodl nevydat opravnou
záplatu.
Jak útok přes zástupce funguje?
Zástupci souborů (.lnk) slouží ve Windows k rychlému spouštění programů nebo otevírání dokumentů. Útočníci však dokážou vytvořit takového zástupce, který v sobě skrývá škodlivý příkaz. Může jít například o odkaz na vzdálený skript, nebezpečný program nebo síťové úložiště pod kontrolou útočníka. Uživatel přitom na první pohled nepozná žádný rozdíl. Ikonka a název mohou vypadat naprosto legitimně, například jako běžný PDF dokument. Ve skutečnosti ale po kliknutí na pozadí dojde ke spuštění škodlivého kódu, který může ukrást přihlašovací údaje nebo infikovat počítač.
Kdo a proč tuto chybu zneužívá?
Zneužívání této zranitelnosti je masivní a dlouhodobé. Bezpečnostní experti detekovali tisíce škodlivých .lnk souborů, které využívají útočné skupiny napojené na státy jako Rusko, Čína, Írán nebo Severní Korea. Jejich cílem jsou nejčastěji vládní instituce, finanční sektor, armáda, telekomunikační firmy a energetické společnosti po celém světě, včetně Evropy. Zatímco některé útoky slouží ke kyberšpionáži, jiné využívají zástupce jako první krok k šíření ransomwaru nebo malwaru kradoucího citlivá data. Útočníci často používají pokročilé metody, například kombinují zástupce s PDF souborem, který po otevření na pozadí tiše spustí nebezpečný kód.
Proč Microsoft chybu neopravil?
Ačkoliv byla zranitelnost nahlášena Microsoftu už v září 2024, firma se rozhodla nevydat bezpečnostní aktualizaci, a to i přes vysoké riziko a zapojení elitních hackerských skupin. Přesný důvod tohoto rozhodnutí není znám. Spekuluje se, že Microsoft možná považuje toto chování za součást designu systému („by design“), nebo se spoléhá na to, že riziko dokáží zmírnit bezpečnostní programy třetích stran, jako jsou antiviry a EDR systémy.
Nejčastější způsoby útoku
Útočníci zranitelnost zneužívají několika typickými způsoby. Nejběžnější je phishing, kdy uživateli dorazí e-mail s přílohou, která se tváří jako neškodný dokument, ale ve skutečnosti je to upravený zástupce. Další metoda cílí na firemní sítě – zástupce odkazuje na vzdálené síťové úložiště, čímž se útočník může pokusit zachytit přihlašovací údaje uživatele. Pokročilejší techniky dokonce ukrývají celý škodlivý kód přímo do struktury .lnk souboru, odkud se po spuštění dekóduje a spustí v paměti počítače.
Jak se bránit?
Obrana proti těmto útokům vyžaduje kombinaci opatrnosti a správných nástrojů. Základním pravidlem je neotevírat podezřelé zástupce, zejména ty, které přijdou v e-mailových přílohách nebo jsou součástí stažených archivů. Klíčovou roli hraje moderní antivirová ochrana (Endpoint Protection), která dokáže detekovat pokročilé útoky zneužívající strukturu .lnk souborů. Pro firmy je také důležité analyzovat síťovou komunikaci a sledovat podezřelé pokusy o připojení na neznámé adresy po otevření souboru. Administrátoři mohou navíc nastavit pravidla, která zablokují spouštění zástupců z rizikových umístění, jako jsou složky pro dočasné nebo stažené soubory.
Zástupci Windows jako slabé místo
Zranitelnost v zástupcích souborů Windows představuje jeden z nejvážnějších a dlouhodobě neřešených bezpečnostních problémů, zejména pro firmy a organizace. Hrozba je o to větší, že ji aktivně a cíleně zneužívají nejvyspělejší útočné skupiny, zatímco běžní uživatelé mají jen malou šanci podvodný soubor sami odhalit.
Zdroj: Heise, CyberNews, FPT-IS, Trend Micro, Acronis, GBHackers
