LNK Stomping: ярлыки .lnk обходят MoTW и защиту Windows

Екатерина Быстрова 22 Сентября 2025 - 13:17

Домашние пользователи

...

Исследователи рассказали о новом приёме киберпреступников под названием LNK Stomping, который позволяет обходить защитные механизмы Windows (Mark of the Web) и запускать вредоносные ярлыки без предупреждений системы. Речь идёт о файлах ярлыков (.lnk), которые давно стали популярным инструментом для атак.

Особенно характерна эта тенденция после того как Microsoft в 2022 году ужесточила правила блокировки макросов.

Обычно такие ярлыки распространяют через вложения в письмах или архивы, маскируя их под документы. При запуске они вызывают «доверенные» системные утилиты вроде PowerShell или cmd.exe, что затрудняет выявление угрозы.

Чтобы бороться с этим, в Windows работает защита Mark of the Web (MoTW), которая отмечает скачанные из интернета файлы специальным метаданными. Именно на основе этих меток SmartScreen и Smart App Control проверяют репутацию файла и предупреждают пользователя.

Но приём LNK Stomping, описанный Elastic Security Labs, ломает эту логику. Он эксплуатирует ошибку в процессе обработки ярлыков Проводником Windows: система «нормализует» пути внутри ярлыка и пересохраняет его заново, при этом метка MoTW пропадает. В результате файл выглядит безопасным, и защита его больше не блокирует.

Исследователи выделяют три основных способа внедрения ошибок в структуру ярлыка:

PathSegment — весь путь указывается как один элемент массива,
Dot — добавляются точки или пробелы в путь,
Relative — используется только имя файла без полного пути.

В тестах Elastic Security Labs заражённые ярлыки без этой техники блокировались Smart App Control, а с LNK Stomping запускались без предупреждений.

Уязвимость получила номер CVE-2024-38217 и была закрыта патчем в сентябре 2024 года. Но интересен факт: на VirusTotal нашли образцы с LNK Stomping, загруженные ещё шесть лет назад, что говорит о долгой подпольной эксплуатации.

CISA включила уязвимость в список активно эксплуатируемых, что подтверждает её использование в реальных атаках. Хотя конкретным группам эта техника пока не приписана, угрозу называют «постоянной, а не теоретической».

Эксперты советуют организациям убедиться, что обновления от сентября 2024 года установлены, и внедрять поведенческие правила для обнаружения подозрительных ярлыков, ведь простые сигнатурные методы тут уже не помогут.

Следующая главная новость »

Самые свежие новости ИТ и ИБ. Обзоры, аналитика, анонсы главных ивентов отрасли.
Подписывайтесь на телеграм-канал!

Екатерина Быстрова 30 Апреля 2026 - 08:52

Linux Домашние пользователи

На PlayStation 5 научились запускать полноценный Linux

Энтузиасты нашли новый способ запустить рабочий Linux на PlayStation 5. Его предложил исследователь Энди Нгуен, он позволяет загрузить на консоли полноценную Linux-среду. Тем не менее в нынешнем исполнении метод действует только при жёстких условиях.

Способ работает на дисковой версии PS5 с прошивками 3.00-3.21 или 4.00-4.51. Кроме того, пользователю нужен джейлбрейк и запуск специальных пейлоадов.

После настройки консоль может загружать Ubuntu 26.04 на современном ядре Linux. Система ведёт себя почти как обычный Linux-компьютер: с терминалом, конфигурационными файлами и ручной настройкой.

При этом модификация не постоянная. После перезагрузки PS5 возвращается в обычный режим, а для повторного запуска Linux нужно заново применять джейлбрейк.

В Linux-среде уже доступны некоторые низкоуровневые настройки. Например, можно менять объём видеопамяти, управлять скоростью вентиляторов и включать режимы повышенной производительности. Это делает PS5 чуть ближе к экспериментальному десктопу, чем к обычной игровой консоли.

Но ограничений пока хватает: поддержка драйверов неполная, часть функций работает нестабильно. Wi-Fi может требовать ручного перезапуска, DualSense не работает через встроенное беспроводное подключение, а для геймпада нужны внешние адаптеры. Вывод изображения пока ограничен 60 Гц, включая 1080p, 1440p и 4K. Поддержка 120 Гц может появиться позже.

Главный плюс — такой запуск Linux не переписывает системный софт консоли. Достаточно перезагрузить PS5, и она снова работает как обычная PlayStation. Но риск и сложность всё равно остаются: нужна подходящая прошивка, технические навыки и готовность разбираться с экспериментальной сборкой.

Для массового пользователя это пока скорее любопытный хак, чем практичная функция. Но для сцены моддинга PS5 — заметный шаг вперёд.