ACROS Security’nin 0 yamasına göre Microsoft, şirketin Kasım 2025 Yaması Salı güncellemelerinin bir parçası olarak 2017’den bu yana çeşitli tehdit aktörleri tarafından istismar edilen bir güvenlik açığını sessizce kapattı.
Söz konusu güvenlik açığı CVE-2025-9491 (CVSS puanı: 7.8/7.0), uzaktan kod yürütülmesine yol açabilecek bir Windows Kısayol (LNK) dosyası kullanıcı arayüzünün yanlış yorumlanması güvenlik açığı olarak tanımlandı.
NIST Ulusal Güvenlik Açığı Veritabanındaki (NVD) açıklamaya göre “.LNK dosyalarının işlenmesinde belirli bir kusur mevcut.” “Bir .LNK dosyasındaki hazırlanmış veriler, dosyayı Windows tarafından sağlanan kullanıcı arayüzü aracılığıyla inceleyen kullanıcı için dosyadaki tehlikeli içeriğin görünmez olmasına neden olabilir. Bir saldırgan, mevcut kullanıcının bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.”
Başka bir deyişle, bu kısayol dosyaları, özelliklerinin Windows’ta görüntülenmesi, çeşitli “boşluk” karakterleri kullanılarak, onlar tarafından yürütülen kötü amaçlı komutları kullanıcının görüş alanından gizleyecek şekilde tasarlanmıştır. Saldırganlar, bunların yürütülmesini tetiklemek için dosyaları zararsız belgeler olarak gizleyebilir.
Eksikliğin ayrıntıları ilk olarak Mart 2025’te Trend Micro’nun Sıfır Gün Girişimi’nin (ZDI), bu sorunun Çin, İran, Kuzey Kore ve Rusya’dan devlet destekli 11 grup tarafından veri hırsızlığı, casusluk ve mali amaçlı kampanyaların bir parçası olarak kullanıldığını açıkladığında ortaya çıktı; bunların bir kısmı 2017’ye kadar uzanıyor. Sorun aynı zamanda ZDI-CAN-25373 olarak da takip ediliyor.
O sırada Microsoft, The Hacker News’e kusurun acil servis çıtasını karşılamadığını ve gelecekteki bir sürümde düzeltmeyi düşüneceğini söyledi. Ayrıca LNK dosya biçiminin Outlook, Word, Excel, PowerPoint ve OneNote’ta engellendiğine ve bunun sonucunda bu tür dosyaları açmaya yönelik herhangi bir girişimin kullanıcılara bilinmeyen kaynaklardan gelen dosyaları açmamaları konusunda bir uyarıyı tetikleyeceğine dikkat çekildi.
Daha sonra, HarfangLab’dan gelen bir rapor, bu eksikliğin, XDSpy olarak bilinen bir siber casusluk kümesi tarafından, Doğu Avrupa devlet kurumlarını hedef alan saldırıların bir parçası olarak XDigo adlı Go tabanlı bir kötü amaçlı yazılımı dağıtmak için suistimal edildiğini ortaya çıkardı; aynı ay, kusur kamuya açıklandı.
Ardından, Ekim 2025’in sonlarında, Arctic Wolf’un, Çin’e bağlı tehdit aktörlerinin Avrupalı diplomatik kurumlara ve hükümet kurumlarına yönelik saldırılardaki kusurları silah haline getirdiği ve PlugX kötü amaçlı yazılımını dağıttığı bir saldırı kampanyasını işaretlemesinin ardından sorun üçüncü kez yeniden gündeme geldi.
Bu gelişme, Microsoft’un CVE-2025-9491 hakkında resmi bir kılavuz yayınlamasına yol açtı; yama uygulamama kararını yineledi ve “kullanıcı etkileşimi ve sistemin kullanıcıları bu formatın güvenilmez olduğu konusunda zaten uyarması nedeniyle” bunu bir güvenlik açığı olarak değerlendirdiğini vurguladı.
0patch, güvenlik açığının yalnızca komutun kötü niyetli kısmını Hedef alanından gizlemekle ilgili olmadığını, aynı zamanda bir LNK dosyasının “Hedef argümanlarının çok uzun bir dize (onbinlerce karakter) olmasına izin vermesi, ancak Özellikler iletişim kutusunun yalnızca ilk 260 karakteri göstererek geri kalanını sessizce kesmesi” gerçeğinden kaynaklandığını söyledi.
Bu aynı zamanda kötü niyetli bir kişinin, uzun bir komut çalıştırabilen bir LNK dosyası oluşturabileceği ve bu dosyanın yalnızca ilk 260 karakterinin, özelliklerini görüntüleyen kullanıcıya görüntülenmesine neden olabileceği anlamına da gelir. Komut dizisinin geri kalanı basitçe kısaltılmıştır. Microsoft’a göre dosyanın yapısı teorik olarak 32 bin karaktere kadar dizelere izin veriyor.
Microsoft tarafından yayımlanan sessiz düzeltme eki, Özellikler iletişim kutusunda, uzunluğu ne olursa olsun tüm Hedef komutunu argümanlarla birlikte göstererek sorunu giderir. Bununla birlikte, bu davranış, Hedef alanlarında 260’tan fazla karaktere sahip kısayol dosyalarının bulunabilmesi olasılığına bağlıdır.
0patch’in aynı hataya yönelik mikro yaması, kullanıcılar 260’tan fazla karakter içeren bir LNK dosyasını açmaya çalıştığında bir uyarı görüntüleyerek farklı bir yol izliyor.
“260’tan az karakterle kötü amaçlı kısayollar oluşturulabilse de, doğada tespit edilen gerçek saldırıların engellenmesinin hedeflenenler için büyük bir fark yaratabileceğine inanıyoruz” dedi.
Hacker News, yorum almak için Microsoft’a ulaştı ve şirketten yanıt alırsak bu bilgiyi güncelleyecek.