## La vulnerabilità CVE-2025-9491 e il suo impatto
Microsoft ha implementato una correzione silenziosa per una vulnerabilità critica nei file di scelta rapida di Windows (LNK) durante gli aggiornamenti di Patch Tuesday di novembre 2025, senza includerla tra le 63 vulnerabilità ufficialmente corrette. La falla, tracciata come CVE-2025-9491, rappresenta un rischio significativo per la sicurezza informatica globale, consentendo agli attaccanti di nascondere comandi dannosi all’interno dei file LNK.
## Come funziona l’exploit
La vulnerabilità sfrutta un meccanismo di visualizzazione difettoso nella finestra di dialogo Proprietà di Windows. Quando gli utenti ispezionano le proprietà di un file LNK, il campo Target visualizza solo i primi 260 caratteri, indipendentemente dalla lunghezza effettiva del comando. Gli attaccanti hanno utilizzato questa limitazione per nascondere comandi PowerShell dannosi e payload di malware oltre questo limite di caratteri, ingannando gli utenti che tentavano di verificare la legittimità dei file.
## Cronologia della scoperta e dello sfruttamento
Il 18 marzo 2025, i ricercatori di Trend Micro hanno pubblicato i dettagli della vulnerabilità attraverso l’Advisory ZDI-25-148. Peter Girnus e Aliakbar Zahravi hanno identificato quasi 1.000 file di scelta rapida dannosi che sfruttavano questa falla in varie campagne offensive risalenti al 2017. Le minacce includevano 11 gruppi sponsorizzati da stati e gang di criminalità informatica, tra cui Evil Corp, Bitter, APT37, APT43 (noto anche come Kimsuky), Mustang Panda, SideWinder, RedHotel e Konni.
## La risposta iniziale di Microsoft
Quando Microsoft è stata notificata della vulnerabilità nel settembre 2024, l’azienda ha inizialmente rifiutato di rilasciare una correzione, affermando che non soddisfaceva i criteri di servicing immediato. L’azienda ha sostenuto che gli avvisi di sicurezza esistenti per i file scaricati da Internet, attraverso la funzione Mark of the Web, fornivano protezione adeguata. Tuttavia, questa protezione può essere aggirata attraverso vulnerabilità note di bypass.
## Sfruttamento attivo e pressione sulla sicurezza
Nella fine di ottobre 2025, i ricercatori di Arctic Wolf hanno documentato l’attore delle minacce cinese UNC6384 che sfruttava attivamente la vulnerabilità contro entità diplomatiche ungheresi e belghe durante settembre e ottobre 2025. Gli attaccanti hanno distribuito il malware PlugX attraverso file LNK weaponizzati che sfruttavano il difetto di rappresentazione dell’interfaccia utente per nascondere comandi PowerShell dannosi.
Nonostante lo sfruttamento confermato in natura, Microsoft ha mantenuto una posizione difensiva con l’Advisory ADV25258226, dichiarando che non considera questa una vulnerabilità “a causa dell’interazione dell’utente coinvolta e del fatto che il sistema avverte già gli utenti che questo formato non è affidabile”.
## La correzione silenziosa di Microsoft
Gli aggiornamenti di sicurezza di novembre 2025 di Microsoft hanno silenziosamente modificato il modo in cui Windows visualizza le proprietà dei file LNK. La finestra di dialogo Proprietà ora mostra l’intero comando Target indipendentemente dalla lunghezza, sebbene le informazioni rimangono in un campo a riga singola che richiede la selezione del testo e lo scorrimento per essere visualizzate completamente. Questo cambiamento è stato implementato senza riconoscimento nella documentazione ufficiale delle patch.
## Approcci alternativi alla sicurezza
La società di sicurezza ACROS Security ha sviluppato un approccio alternativo più aggressivo. Il loro micropatch tronca qualsiasi campo Target di file LNK che supera 260 caratteri quando aperto tramite Esplora risorse e avvisa gli utenti dell’attività sospetta. Questa soluzione è progettata per bloccare gli oltre 1.000 file di scelta rapida dannosi identificati da Trend Micro, preservando al contempo la funzionalità dei file di scelta rapida legittimi creati attraverso le interfacce standard di Windows.
Microsoft ha anche fornito patch per versioni di Windows Server completamente supportate che non avevano ricevuto correzioni, tra cui Windows Server 2016, Windows Server 2019 e Windows Server 2022.
## Lezioni sulla sicurezza dell’interfaccia utente
Questa vulnerabilità evidenzia la sfida continua delle questioni di sicurezza basate sull’interfaccia utente, dove gli attaccanti sofisticati sfruttano la fiducia degli utenti nell’interfaccia utente del sistema operativo. Le organizzazioni dovrebbero implementare capacità aggiuntive di rilevamento degli endpoint e formazione sulla consapevolezza della sicurezza per riconoscere file di scelta rapida sospetti, in particolare quelli ricevuti tramite posta elettronica o scaricati da fonti non affidabili.
La corretta gestione di questa vulnerabilità richiede un approccio a più livelli che combini patch di sistema, educazione degli utenti e monitoraggio della sicurezza avanzato per proteggere le organizzazioni da attacchi sofisticati che sfruttano questa tecnica di offuscamento.
