LNK Stomping: ярлыки .lnk обходят MoTW и защиту Windows

Екатерина Быстрова 22 Сентября 2025 - 13:17

Домашние пользователи

...

Исследователи рассказали о новом приёме киберпреступников под названием LNK Stomping, который позволяет обходить защитные механизмы Windows (Mark of the Web) и запускать вредоносные ярлыки без предупреждений системы. Речь идёт о файлах ярлыков (.lnk), которые давно стали популярным инструментом для атак.

Особенно характерна эта тенденция после того как Microsoft в 2022 году ужесточила правила блокировки макросов.

Обычно такие ярлыки распространяют через вложения в письмах или архивы, маскируя их под документы. При запуске они вызывают «доверенные» системные утилиты вроде PowerShell или cmd.exe, что затрудняет выявление угрозы.

Чтобы бороться с этим, в Windows работает защита Mark of the Web (MoTW), которая отмечает скачанные из интернета файлы специальным метаданными. Именно на основе этих меток SmartScreen и Smart App Control проверяют репутацию файла и предупреждают пользователя.

Но приём LNK Stomping, описанный Elastic Security Labs, ломает эту логику. Он эксплуатирует ошибку в процессе обработки ярлыков Проводником Windows: система «нормализует» пути внутри ярлыка и пересохраняет его заново, при этом метка MoTW пропадает. В результате файл выглядит безопасным, и защита его больше не блокирует.

Исследователи выделяют три основных способа внедрения ошибок в структуру ярлыка:

PathSegment — весь путь указывается как один элемент массива,
Dot — добавляются точки или пробелы в путь,
Relative — используется только имя файла без полного пути.

В тестах Elastic Security Labs заражённые ярлыки без этой техники блокировались Smart App Control, а с LNK Stomping запускались без предупреждений.

Уязвимость получила номер CVE-2024-38217 и была закрыта патчем в сентябре 2024 года. Но интересен факт: на VirusTotal нашли образцы с LNK Stomping, загруженные ещё шесть лет назад, что говорит о долгой подпольной эксплуатации.

CISA включила уязвимость в список активно эксплуатируемых, что подтверждает её использование в реальных атаках. Хотя конкретным группам эта техника пока не приписана, угрозу называют «постоянной, а не теоретической».

Эксперты советуют организациям убедиться, что обновления от сентября 2024 года установлены, и внедрять поведенческие правила для обнаружения подозрительных ярлыков, ведь простые сигнатурные методы тут уже не помогут.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 22 Сентября 2025 - 14:53

Корпорации Государство Security Vision

ИТ-парк и Security Vision объединят усилия для развития ИБ в Татарстане

Компания Security Vision и казанский технопарк «ИТ-парк» заключили соглашение о сотрудничестве в сфере кибербезопасности. Документ предполагает развитие совместных проектов в Республике Татарстан, в том числе в научно-образовательном направлении.

Соглашение закрепляет организационное и информационное взаимодействие сторон, а также их совместные усилия по работе в области информационной безопасности.

«Мы рады объявить о партнерстве с ИТ-парком, ведущим технологическим центром Республики Татарстан, – отметила коммерческий директор Security Vision Екатерина Черун. – Это сотрудничество позволит нам более эффективно внедрять передовые решения Security Vision в регионе и способствовать развитию компетенций в области кибербезопасности».

«ИТ-парк всегда стремится к поддержке инновационных компаний, передовых для отрасли цифровых решений и развитию ИТ-отрасли в Республике Татарстан, – прокомментировал директор ГАУ “Технопарк в сфере высоких технологий ИТ-парк” Руслан Власов. – Сотрудничество с Security Vision, лидером рынка кибербезопасности, позволит предоставить нашим резидентам доступ к передовым технологиям и экспертизе в этой важной области».

В соглашении также предусмотрена возможность расширения сотрудничества и на другие направления.