Jak útok přes zástupce funguje?
Zástupci souborů (.lnk) slouží ve Windows k rychlému spouštění programů nebo otevírání dokumentů. Útočníci však dokážou vytvořit takového zástupce, který v sobě skrývá škodlivý příkaz. Může jít například o odkaz na vzdálený skript, nebezpečný program nebo síťové úložiště pod kontrolou útočníka.
Uživatel přitom na první pohled nepozná žádný rozdíl. Ikonka a název mohou vypadat naprosto legitimně, například jako běžný PDF dokument. Ve skutečnosti ale po kliknutí na pozadí dojde ke spuštění škodlivého kódu, který může ukrást přihlašovací údaje nebo infikovat počítač.
Zdroj: Midjourney (vygenerováno pomocí umělé inteligence)
Kdo a proč tuto chybu zneužívá?
Zneužívání této zranitelnosti je masivní a dlouhodobé. Bezpečnostní experti detekovali tisíce škodlivých .lnk souborů, které využívají útočné skupiny, napojené na státy jako Rusko, Čína, Írán nebo Severní Korea. Jejich cílem jsou nejčastěji vládní instituce, finanční sektor, armáda, telekomunikační firmy a energetické společnosti po celém světě, včetně Evropy.
Zatímco některé útoky slouží ke kyberšpionáži, jiné využívají zástupce jako první krok k šíření ransomwaru nebo malwaru kradoucího citlivá data. Útočníci často používají pokročilé metody, například kombinují zástupce s PDF souborem, který po otevření na pozadí tiše spustí nebezpečný kód.
Mohlo by vás zajímat
Údajně jde o standardní chování systému
Ačkoliv byla zranitelnost nahlášena Microsoftu už v září 2024, firma se rozhodla nevydat bezpečnostní aktualizaci, a to i přes vysoké riziko a zapojení elitních hackerských skupin. A proč se tak Microsoft rozhodl? To nikdo přesně neví, ale spekuluje se o tom, že se na toto chování dívá jako na běžnou součást systému.
Dalším možným důvodem je, že spoléhá na to, že případná rizika za něj ohlídají antivirové a EDR systémy od jiných firem.
Mohlo by vás zajímat
Nejčastější způsoby útoku
Útočníci zranitelnost zneužívají několika typickými způsoby. Nejběžnější je phishing: uživateli dorazí e-mail s přílohou, která působí dojmem neškodného dokumentu, ale ve skutečnosti je to upravený zástupce. Další metoda cílí na firemní sítě – zástupce odkazuje na vzdálené síťové úložiště, čímž se útočník může pokusit zachytit přihlašovací údaje uživatele. Pokročilejší techniky dokonce ukrývají celý škodlivý kód přímo do struktury .lnk souboru, odkud se po spuštění dekóduje a spustí v paměti počítače.
Mohlo by vás zajímat
Má uživatel šanci nebezpečí čelit?
Obrana proti těmto útokům vyžaduje kombinaci opatrnosti a správných nástrojů. Základním pravidlem je neotevírat podezřelé zástupce, zejména ty, které přijdou v e-mailových přílohách nebo jsou součástí stažených archivů. Klíčovou roli hraje moderní antivirová ochrana (Endpoint Protection), která dokáže detekovat pokročilé útoky zneužívající strukturu .lnk souborů.
Pro firmy je také důležité analyzovat síťovou komunikaci a sledovat podezřelé pokusy o připojení na neznámé adresy po otevření souboru. Administrátoři mohou navíc nastavit pravidla, která zablokují spouštění zástupců z rizikových umístění, jako jsou složky pro dočasné nebo stažené soubory.
Zdroj: Heise, CyberNews, FPT-IS, Trend Micro, Acronis, GBHackers
video