Un problema nascosto per troppo tempo
Una seria falla di sicurezza nei file di collegamento di Windows, identificata come CVE-2025-9491 (precedentemente nota come ZDI-CAN-25373), è stata silenziosamente corretta da Microsoft nel novembre 2025. Quello che rende questa vulnerabilità particolarmente preoccupante è che è stata attivamente sfruttata da hacker e gruppi di spionaggio sin dal 2017, per ben otto anni.
Come funziona l’attacco
La vulnerabilità risiede nella gestione da parte di Windows dei file di collegamento (.lnk). Il difetto consente agli attaccanti di nascondere comandi dannosi all’interno di questi file, rendendoli invisibili quando un utente visualizza le proprietà della scorciatoia. Questo significa che una persona potrebbe vedere un file che appare innocuo, come un documento Word o un’immagine, mentre in realtà contiene istruzioni malevole pronte ad essere eseguite.
Gli hacker hanno sfruttato questa caratteristica utilizzando caratteri invisibili e mascherando i file come documenti legittimi, ingannando gli utenti nel fare clic su di essi. Una volta che il file viene aperto, il codice dannoso si esegue nel contesto dell’utente corrente, consentendo agli attaccanti di compromettere il sistema.
Chi sta sfruttando questa vulnerabilità?
Secondo i ricercatori di sicurezza, almeno undici gruppi di hacker sponsorizzati da stati hanno utilizzato attivamente questa vulnerabilità. Le nazioni coinvolte includono:
- Cina
- Iran
- Corea del Nord
- Russia
Gli attacchi sono stati documentati in diverse campagne di spionaggio, furto di dati e operazioni finanziarie. Nel marzo 2025, quando i dettagli della vulnerabilità sono emersi pubblicamente, i ricercatori hanno confermato che hacker cinesi stavano già utilizzando CVE-2025-9491 per colpire istituzioni diplomatiche in tutta Europa, distribuendo il malware PlugX tramite file infetti delle utility delle stampanti.
La risposta lenta di Microsoft
Microsoft ha inizialmente minimizzato l’importanza della vulnerabilità quando è stata segnalata. L’azienda ha dichiarato che il problema “non soddisfa i criteri per un intervento immediato”, citando come mitigazione il fatto che molte applicazioni Office bloccano il formato LNK e mostrano avvisi quando si tenta di aprire tali file.
Questa decisione è stata criticata dalla comunità di sicurezza, considerando che la vulnerabilità era già stata sfruttata attivamente per anni. Solo nel novembre 2025, con il rilascio dell’aggiornamento cumulativo mensile, Microsoft ha finalmente affrontato il problema.
La soluzione implementata
La correzione di Microsoft non è una patch tradizionale nel senso che non protegge completamente da file infetti. Invece, la soluzione rende visibili i comandi dannosi all’interno dei file LNK, permettendo agli utenti di identificare il codice malevolo prima di eseguirlo. Questo rappresenta un miglioramento significativo rispetto alla situazione precedente, ma non elimina completamente il rischio.
È importante notare che una patch non ufficiale che corregge completamente la vulnerabilità è stata resa disponibile dalla comunità di sicurezza, offrendo una soluzione più robusta per chi desidera una protezione completa.
Impatto e rischi attuali
La vulnerabilità consente agli attaccanti di:
- Eseguire codice arbitrario sui sistemi compromessi
- Installare malware, ransomware e loader con privilegi elevati
- Bypassare i controlli di controllo dell’account utente (UAC)
- Stabilire persistenza post-exploit generando processi figli arbitrari
- Compromettere interi sistemi attraverso semplici file di collegamento
Il rischio è ancora più elevato considerando che i file LNK possono essere distribuiti facilmente tramite phishing, file sharing, archivi e download, rendendo questa una vettore di attacco estremamente versatile.
Misure di protezione consigliate
Gli esperti di sicurezza raccomandano diverse azioni per mitigare il rischio:
- Disabilitare l’apertura automatica di file LNK scaricati o ricevuti via email o file sharing
- Monitorare attivamente l’avvio di processi sospetti da file di collegamento utilizzando log di Windows e sistemi SIEM
- Segmentare workstation e server dall’esposizione a asset non gestiti
- Applicare regole nei gateway di posta elettronica per bloccare gli allegati LNK dove possibile
- Mantenere aggiornati tutti i sistemi Windows con gli ultimi patch di sicurezza
La vulnerabilità CVE-2025-9491 rappresenta un esempio preoccupante di come i difetti di sicurezza possono rimanere sfruttati attivamente per anni senza una risposta adeguata. Sebbene Microsoft abbia finalmente agito nel novembre 2025, gli utenti e le organizzazioni devono rimanere vigili e implementare le misure di protezione consigliate per difendersi da questo e da altri attacchi simili.
