Microsoft’ın Windows LNK Açığına Getirdiği Çözüm
Microsoft, 2017 yılından bu yana birçok siber suçlu tarafından istismar edilen bir güvenlik açığını, Kasım 2025’teki Patch Tuesday güncellemeleriyle sessizce kapattı. Bu açık, CVE-2025-9491 olarak adlandırılmakta ve Windows Kısayol (LNK) dosya formatında bir UI yanlış anlaması nedeniyle ortaya çıkıyor. Açığın CVSS skoru 7.8 olarak belirlenmiş.
Açığın Özellikleri ve Etkileri
Bu güvenlik açığı, kötü niyetli kullanıcıların, .LNK dosyaları aracılığıyla uzaktan kod çalıştırmalarına olanak tanıyor. Açık, kullanıcının dosyanın özelliklerini incelediğinde, zararlı komutların görünmez olmasına neden olan “boşluk karakterleri” kullanılarak istismar edilebiliyor. Yani, saldırganlar, dosyaları zararsız belgeler olarak gizleyerek kullanıcının dikkatini dağıtıyor.
Açığın detayları, Mart 2025’te Trend Micro’nun Zero Day Initiative (ZDI) tarafından açıklandığında gün yüzüne çıktı. Bu süreçte, 2017 yılından itibaren Çin, İran, Kuzey Kore ve Rusya’dan 11 devlet destekli grup tarafından veri hırsızlığı ve casusluk amacıyla kullanıldığı belirtildi.
Microsoft’un İlk Tepkisi
Başlangıçta Microsoft, açığın acil bir düzeltme gerektirecek seviyede olmadığını belirtti ve gelecekte bir yamanın planlandığını söyledi. Ayrıca, LNK dosya formatının Outlook, Word, Excel, PowerPoint ve OneNote gibi uygulamalarda engellendiğini ve bu dosyaların açılmaya çalışıldığında kullanıcılara uyarılar gösterdiğini ifade etti.
Ancak, bu açıklama kullanıcıların güvenliğini tam olarak sağlamadı. HarfangLab’in raporuna göre, XDSpy adlı bir siber casusluk grubunun bu açığı kullanarak doğu Avrupa hükümetlerine yönelik zararlı yazılımlar yaydığı tespit edildi.
İlerleyen Süreçte Yaşananlar
Ekim 2025’te, bu güvenlik açığı yine gündeme geldi. Arctic Wolf, Çin bağlantılı tehditlezlerin LNK açığını kullanarak Avrupa’daki diplomatik ve hükümet hedeflerine yönelik saldırılarda PlugX malware’ini teslim ettiğini bildirdi. Microsoft, bu gelişmeler üzerine CVE-2025-9491 için resmi bir kılavuz yayımladı, ancak hala açığı düzeltmeyeceğini yineledi.
0patch, bu açığın yalnızca zararlı komutların gizlenmesiyle ilgili olmadığını, aynı zamanda LNK dosyalarının “Hedef” argümanlarının çok uzun dizeler olmasına izin verdiğini, fakat Özellikler penceresinin yalnızca ilk 260 karakteri gösterdiğini belirtti.
Patching ve Çözüm Yöntemleri
Microsoft, açığı gidermek için, Özellikler penceresinde tüm Hedef komutunun uzunluğuna bakılmaksızın göstermeye olanak tanıyan bir yamanın yayınlandığını açıkladı. Bu, kullanıcıların açığın etkilerine karşı daha bilinçli olmasına yardımcı olacaktır.
0patch ise, LNK dosyası 260 karakterden fazla ise kullanıcıyı uyaran bir yöntem geliştirdi. “Kötü niyetli kısayollar daha az karakter ile yapılandırılabilse de, gerçek saldırıları kesmenin büyük bir fark yaratabileceğine inanıyoruz,” dedi.
Son olarak, bu tür açıklara karşı kullanıcıların dikkatli olmaları ve dosya kaynaklarını doğrulamaları oldukça önemlidir. Microsoft, bu konuyla ilgili daha fazla bilgi sağladığında güncellemeleri duyuracaktır.
