LNK Stomping: ярлыки .lnk обходят MoTW и защиту Windows

Екатерина Быстрова 22 Сентября 2025 - 13:17

Домашние пользователи

...

Исследователи рассказали о новом приёме киберпреступников под названием LNK Stomping, который позволяет обходить защитные механизмы Windows (Mark of the Web) и запускать вредоносные ярлыки без предупреждений системы. Речь идёт о файлах ярлыков (.lnk), которые давно стали популярным инструментом для атак.

Особенно характерна эта тенденция после того как Microsoft в 2022 году ужесточила правила блокировки макросов.

Обычно такие ярлыки распространяют через вложения в письмах или архивы, маскируя их под документы. При запуске они вызывают «доверенные» системные утилиты вроде PowerShell или cmd.exe, что затрудняет выявление угрозы.

Чтобы бороться с этим, в Windows работает защита Mark of the Web (MoTW), которая отмечает скачанные из интернета файлы специальным метаданными. Именно на основе этих меток SmartScreen и Smart App Control проверяют репутацию файла и предупреждают пользователя.

Но приём LNK Stomping, описанный Elastic Security Labs, ломает эту логику. Он эксплуатирует ошибку в процессе обработки ярлыков Проводником Windows: система «нормализует» пути внутри ярлыка и пересохраняет его заново, при этом метка MoTW пропадает. В результате файл выглядит безопасным, и защита его больше не блокирует.

Исследователи выделяют три основных способа внедрения ошибок в структуру ярлыка:

PathSegment — весь путь указывается как один элемент массива,
Dot — добавляются точки или пробелы в путь,
Relative — используется только имя файла без полного пути.

В тестах Elastic Security Labs заражённые ярлыки без этой техники блокировались Smart App Control, а с LNK Stomping запускались без предупреждений.

Уязвимость получила номер CVE-2024-38217 и была закрыта патчем в сентябре 2024 года. Но интересен факт: на VirusTotal нашли образцы с LNK Stomping, загруженные ещё шесть лет назад, что говорит о долгой подпольной эксплуатации.

CISA включила уязвимость в список активно эксплуатируемых, что подтверждает её использование в реальных атаках. Хотя конкретным группам эта техника пока не приписана, угрозу называют «постоянной, а не теоретической».

Эксперты советуют организациям убедиться, что обновления от сентября 2024 года установлены, и внедрять поведенческие правила для обнаружения подозрительных ярлыков, ведь простые сигнатурные методы тут уже не помогут.

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Марта 2026 - 09:30

Соответствие законодательству РФ Общее Соответствие требованиям регуляторов

Минцифры меняет схему передачи данных об активности в онлайн-кинотеатрах

Минцифры, похоже, нашло рабочую схему для передачи данных о просмотрах в онлайн-кинотеатрах компании Mediascope: обсуждается вариант, при котором данные будут идти через «Яндекс» и VK. Если эта конструкция действительно закрепится, рынок получит не просто новый порядок отчётности, а ещё один чувствительный узел в споре о том, где заканчивается медиаизмерение и начинается слишком подробный сбор пользовательской активности.

Сама история тянется с ноября 2025 года. Тогда министерство предложило расширить набор данных, которые соцсети и онлайн-кинотеатры передают Mediascope: в проекте фигурировали бессрочные идентификаторы пользователей, сформированные с использованием номера телефона, а также полная информация о просмотрах фильмов и сериалов.

Логика у ведомства была следующая: сейчас один и тот же человек на разных устройствах часто считается как несколько пользователей, а новый ID должен сделать статистику точнее.

Дальше начались споры уже не о теории, а о практической схеме. Ещё в конце декабря СМИ писали, что техническим посредником при передаче таких данных может стать Яндекс.

В компании тогда уверяли, что мобильные номера к ним не попадут: сервисы будут передавать уже обезличенные идентификаторы, а затем они пройдут дополнительное шифрование. Источники рынка при этом сразу предупреждали о другой стороне вопроса: через такого посредника в любом случае пойдут массивы данных десятков миллионов пользователей, а значит, вырастут и риски их сохранности.

Нашлись и другие претензии: сама идея постоянного идентификатора, привязанного к номеру телефона, для части рынка уже выглядит не как «чуть более точное измерение аудитории», а как слишком чувствительный маркер, который теоретически можно использовать не только для статистики.

На этом фоне новая схема, о которой пишет РБК, с посредниками выглядит как попытка снять хотя бы часть напряжения: не тащить всё напрямую в Mediascope, а проложить между сторонами дополнительный технический слой. Но главный вопрос никуда не делся: поверит ли рынок, что такая модель действительно снижает риски, а не просто делает маршрут данных длиннее.

Потому что для онлайн-кинотеатров и соцсетей это уже не абстрактная регуляторная дискуссия, а вполне конкретный разговор о том, сколько пользовательских данных придётся отдать, кому именно и на каких условиях.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!