Metoden er simpel, men effektiv, og bruger ondsindede .LNK-filer, der er udstyret med kommandoer til at downloade malware. Selvom genvejene ser ud til at pege på legitime filer eller programmer, indeholder de skjulte instruktioner, der henter, pakker ud og forsøger at køre ondsindede payloads.
Normalt ville genvejens mål og kommandolinjeparametre være tydeligt synlige i Windows, hvilket gør det let at opdage mistænkelige kommandoer. Men Trend's Zero Day Initiative observerede, at Nordkorea-støttede grupper skjulte kommandoerne ved at fylde kommandolinjen med megabyte af mellemrum, hvilket skjulte de egentlige kommandoer dybt væk i brugergrænsefladen.
Trend rapporterede dette til Microsoft i september sidste år og vurderer, at udnyttelsen har været brugt siden 2017. De fandt næsten 1.000 manipulerede .LNK-filer i omløb, men vurderer, at det reelle antal angreb kan have været højere.
"Dette er en af mange fejl, som angriberne bruger, men denne er ikke blevet rettet, og derfor rapporterede vi den som en zero-day-sårbarhed," sagde Dustin Childs, chef for trusselsbevidsthed hos Zero Day Initiative, til The Register.
"Vi fortalte Microsoft om det, men de betragter det som et UI-problem og ikke et sikkerhedsproblem. Derfor opfylder det ikke deres krav til at blive rettet i en sikkerhedsopdatering, men det kan måske blive løst i en senere version eller noget lignende."
Efter at have undersøgt de ondsindede .LNK-filer fandt sikkerhedsfirmaet ud af, at størstedelen af disse filer stammede fra statssponsorerede angribere (omkring 70 procent), der brugte dem til spionage eller at stjæle information.
Yderligere 20 procent blev brugt til økonomisk vinding. Blandt de statssponsorerede grupper kom 46 procent af angrebene fra Nordkorea, mens Rusland, Iran og Kina hver tegnede sig for omkring 18 procent af aktiviteterne.
Ikke overraskende var regeringsmål de mest populære blandt angriberne, hvilket blev efterfulgt af den private sektor, finansielle institutioner, tænketanke og teleselskaber. Militære og energimål var de næstmest populære.
Trend besluttede at offentliggøre problemet, efter at Microsoft nægtede at anerkende angrebsmetoden som en sikkerhedsrisiko. Hvis en bruger klikker på en ondsindet .LNK-fil - som typisk bringes ind på systemet via en usikker download eller en e-mail-vedhæftning - kan ondsindet kode køre på den lokale enhed.
Hvis dette kombineres med en sårbarhed, der giver mulighed for at eskalere brugerrettigheder (hvilket der er mange af), kan et helt system kompromitteres forholdsvis nemt.
"Vi betragter det som et sikkerhedsproblem. Ikke et kritisk sikkerhedsproblem, men bestemt værd at løse via en sikkerhedsopdatering," udtalte Childs.
"Jeg tror, en del af forklaringen kan være, at den tekniske løsning kan være utrolig vanskelig og mere omfattende, end hvad der kan løses med en simpel sikkerhedsopdatering. Det kan være en af årsagerne til, at Microsoft holder så hårdt på ikke at rette det med en patch."
En talsperson fra Microsoft gentog, hvad virksomheden tidligere havde sagt til ZDI om at betragte problemet som en brugergrænsefladefejl, og fortalte The Register:
"Selvom brugergrænsefladeproblemet beskrevet i rapporten ikke opfylder kravene til øjeblikkelig løsning ifølge vores retningslinjer for alvorlighedsklassificering, vil vi overveje at adressere det i en fremtidig funktionsopdatering," sagde vedkommende.
Talspersonen tilføjede også, at Microsoft værdsætter 'ZDI's arbejde med at indsende denne rapport som en del af en koordineret sårbarhedsrapportering'.
Microsoft opfordrede også kunder til at udvise forsigtighed, når de downloader filer fra ukendte kilder, som angivet i deres sikkerhedsadvarsler, der er designet til at genkende og advare brugere om potentielt skadelige filer.
