Windows LNK文件再曝欺骗漏洞，可伪装成PDF执行恶意脚本

2月13日，在近日举行的Wild West Hackin' Fest安全活动中，研究人员Wietze Beukema披露了一种针对Windows快捷方式（LNK）文件的新型欺骗技术。该技术利用Windows资源管理器在处理文件路径时的逻辑缺陷，使攻击者能够制造出“表里不一”的恶意文件——表面看似无害的PDF，双击后却在后台执行恶意脚本。

Beukema发现，攻击者可以通过修改LNK文件内的特定数据结构，仅设置ANSI目标字段而留空Unicode字段，导致用户在查看文件属性时，看到的是“invoice.pdf”这类无害名称，但双击运行后实际执行的却是PowerShell脚本或其他恶意程序。

Beukema已于2025年9月将该问题上报微软安全响应中心。但微软拒绝将其归类为安全漏洞，并称不会立即修复。微软发言人表示，此类利用需要诱导用户主动运行恶意文件，并未突破系统的安全边界。微软强调，Windows Defender已具备识别能力，智能应用控制（Smart App Control）也能提供额外防护，并建议用户留意系统对“未知来源文件”的安全警告。

Beukema对此表示担忧，指出攻击者之所以青睐LNK文件，正是因为用户往往习惯性地快速点击，忽略安全警告。为帮助防御者识别此类威胁，他发布了名为lnk-it-up的开源工具套件，既可模拟生成测试用欺骗性LNK文件，也能预测资源管理器显示内容与实际执行内容的差异，辅助安全人员识别潜在攻击。

这并非微软首次因LNK漏洞处理引发争议。此前被曝光的CVE-2025-9491漏洞，允许攻击者利用空白填充隐藏命令行参数，最初也被微软拒绝修复。然而趋势科技等安全机构调查发现，包括Mustang Panda、Evil Corp、APT37在内的至少11个国家级黑客组织及网络犯罪团伙，长期利用该缺陷发动零日攻击，针对欧洲外交官等目标。面对严峻形势，微软最终于2025年12月悄然修改LNK文件处理机制，以缓解被广泛滥用的漏洞。