'Diplomaten aangevallen via Windows-lek waarvoor geen patch beschikbaar is'

In dit artikel:

Arctic Wolf waarschuwt dat een onbekende kwetsbaarheid in Windows (CVE-2025-9491) actief wordt misbruikt en dat er nog geen beveiligingsupdate voor bestaat. Het lek zit in de verwerking van .LNK‑bestanden: speciaal geprepareerde data kan commandline‑argumenten verbergen, waardoor een aanvaller code kan uitvoeren in de context van de ingelogde gebruiker zonder dat het doelwit ziet wat het bestand precies doet.

Volgens Arctic Wolf zijn Europese diplomaten, onder meer in België en Hongarije, doelwit geweest. De werkwijze: een spearphishing-e-mail leidt naar een malafide Microsoft-inlogpagina waarmee een zip-bestand wordt gedownload; dat zip-bestand bevat een .LNK die bij openen een echt pdf-document toont als afleiding en in de achtergrond de PlugX‑malware installeert, waarmee data gestolen kan worden. De aanvallen worden toegeschreven aan een groep aangeduid als UNC6384, mogelijk gelinkt aan China. Eerder waarschuwde Trend Micro al in maart dat meerdere spionagegroepen het lek gebruikten.

ZDI meldde de kwetsbaarheid op 20 september 2024 aan Microsoft, maar Microsoft heeft besloten geen patch uit te brengen; daarop maakte Arctic Wolf de details op 18 maart openbaar. Aanbevolen voorzorgsmaatregelen zijn terughoudendheid bij onbekende .LNK- en zip‑bijlagen, verificatie van afzenders, het gebruik van least‑privilege accounts, multifactor‑authenticatie en up‑to‑date endpointbeveiliging totdat een officiële fix beschikbaar is.