Onyx
12. 09. 2025 10:11
Zdroj: Vygenerováno pomocí AI
Ve Windows se objevila závažná bezpečnostní chyba, která útočníkům
umožňuje ovládnout počítač pomocí obyčejného zástupce, tedy souboru s
koncovkou .LNK. Problém je o to vážnější, že společnost Microsoft
odmítla vydat oficiální opravu, a zranitelnost tak zůstává otevřená a
aktivně zneužívaná.
Útok probíhá přes běžné zástupce
Jádro problému spočívá ve způsobu, jakým systém zpracovává soubory zástupců. Útočníci dokážou do argumentů zástupce vložit skrytý škodlivý kód pomocí neviditelných znaků, jako jsou mezery nebo tabulátory. Když pak uživatel na takového zástupce klikne v domnění, že spouští běžný program, na pozadí se bez jeho vědomí vykoná nebezpečný příkaz. Pro běžného uživatele je takový útok prakticky neodhalitelný.
Kdo za útoky stojí a jak probíhají?
Tato zranitelnost není jen teoretickou hrozbou. Je aktivně využívána minimálně od roku 2017, a to především státem sponzorovanými hackerskými skupinami z Ruska, Číny, Íránu a Severní Koreje. Jejich cílem je nejčastěji špionáž a krádež citlivých dat z vládních, obranných, finančních a energetických sektorů po celém světě.
Bezpečnostní experti již analyzovali téměř tisíc unikátních škodlivých souborů, které byly spojeny se známými kyberzločineckými skupinami, jako jsou Evil Corp, Kimsuky nebo Konni. Obzvláště znepokojivé je, že škodlivý obsah není vidět ani při manuální kontrole vlastností zástupce, což ztěžuje odhalení i zkušenějším uživatelům.
Microsoft chybu neopraví. Co teď?
Ačkoliv byla zranitelnost Microsoftu řádně nahlášena, společnost se rozhodla nevydat bezpečnostní záplatu. Tento postoj je neobvyklý, protože podobně vážné „zero-day“ chyby bývají opraveny v co nejkratším čase. Bezpečnostní komunita proto přišla s vlastními doporučeními. Firmám i jednotlivcům radí důsledně monitorovat systémy na přítomnost podezřelých .LNK souborů, nasadit pokročilá filtrovací pravidla a zaměřit se na vzdělávání uživatelů.
Problém se zástupci je hlubší
Aby toho nebylo málo, výzkumníci objevili i další související zranitelnost. Jde o takzvaný „zero-click“ útok, který útočníkovi umožňuje získat přihlašovací údaje (konkrétně NTLM hashe) bez jakékoliv interakce uživatele. Stačí, aby se v systému Windows zobrazil náhled ikony speciálně upraveného zástupce, například v Průzkumníku souborů. Tento útok obchází i dříve vydané záplaty na podobné problémy.
Jak se bránit?
Ostražitost je na prvním místě. Nikdy nepodceňujte zdánlivě nevinné soubory zástupců, které vám mohou dorazit v e-mailové příloze nebo je stáhnete z neověřeného zdroje. Udržujte svůj systém i bezpečnostní software vždy aktuální a v ideálním případě používejte nástroje, které umí skenovat a detekovat atypické soubory .LNK. V organizacích je klíčové segmentovat síť, aby se případný útok nemohl snadno šířit, a pravidelně školit zaměstnance o aktuálních phishingových technikách.
Zdroj: Heise, The Hacker News, CyberNews, FPT IS, Trend Micro, GBHackers
