В Windows нашли критическую уязвимость 8-летней давности. Microsoft отказалась ее закрывать — Tproger

Обнаружена критическая уязвимость Windows (ZDI-CAN-25373), используемая хакерами с 2017 года; Microsoft не планирует выпускать патч.

Эксперты Trend Zero Day Initiative (ZDI) обнаружили ZDI-CAN-25373 — уязвимость в Windows, активно эксплуатируемую хакерскими группами с 2017 года.

Анализ показал, что по меньшей мере 11 государственно-спонсируемых групп из Северной Кореи, Ирана и Китая использовали эту уязвимость в кибершпионаже и краже данных.

Несмотря на доказанную опасность, Microsoft отказалась выпускать патч, классифицировав проблему как «низкоприоритетную».

Что такое ZDI-CAN-25373 и почему это важно

Уязвимость связана с обработкой файлов-ярлыков (.lnk) в Windows. Хакеры создают зараженные ярлыки, которые выглядят как безобидные файлы, но при открытии запускают вредоносный код.

Особенность ZDI-CAN-25373 в том, что она скрывает команды, выполняемые при активации ярлыка, что делает атаку невидимой для пользователя.

Кто использует ZDI-CAN-25373?

По данным ZDI, эксплойт применяют APT-группы (Advanced Persistent Threats), специализирующиеся на кибершпионаже и киберпреступности.

• Почти 50% атак связаны с Северной Кореей — уязвимость используется различными подразделениями кибервойск страны.
• В числе атакующих также группы из Китая и Ирана.
• Около 70% атак направлены на кражу информации, еще 20% — на финансовые махинации.

Кто в зоне риска?

ZDI выявила атаки на следующие сектора:

• Государственные учреждения
• Крупный бизнес
• Финансовые компании и криптобиржи
• НПО и аналитические центры
• Телекоммуникации
• Военные и оборонные структуры
• Энергетика

Организации из этих сфер должны немедленно проверить свои системы и внедрить защитные меры.

Как защититься?

1. Ограничить запуск файлов .lnk из ненадежных источников.
2. Использовать продвинутые системы обнаружения угроз — стандартные антивирусы не всегда выявляют эксплойты.
3. Настроить мониторинг подозрительных процессов, например cmd.exe или PowerShell, запускаемых через .lnk.
4. Будьте осторожны с файлами, скачанными из интернета — даже если они выглядят как обычные документы.
5. Использовать YARA-правила для поиска вредоносных .lnk-файлов в системе.