Microsoft colmate une brèche exploitée depuis 2017 dans les fichiers LNK
« Pas une faille », selon l’éditeur
Dans le Patch Tuesday de novembre, Microsoft a corrigé une faille exploitée depuis des années. Non-critique, l'entreprise ne la considérait d'ailleurs même pas comme une vulnérabilité. Elle a pourtant été utilisée très activement dans plusieurs campagnes.
Le 04 décembre 2025 à 11h03
3 min
Droit
Droit
Microsoft a discrètement corrigé une faille dans les fichiers raccourcis Windows (LNK) qui était exploitée activement depuis 2017 par de nombreux acteurs malveillants, rapporte ACROS Security (relayé par The Hacker News).
Dangerosité variable
Estampillée CVE-2025-9491, cette vulnérabilité permettait de cacher des commandes malveillantes dans les fichiers LNK en exploitant une limitation de l'interface Windows : la boîte de dialogue des propriétés n'affichait que les 260 premiers caractères du champ "Target", alors que la structure du fichier autorise jusqu'à 32 000 caractères. Les pirates pouvaient ainsi créer des raccourcis contenant des commandes arbitraires invisibles à l'inspection visuelle, en utilisant des caractères d'espacement et en plaçant le code malveillant au-delà de la limite d'affichage.
La dangerosité de cette faille varie selon les acteurs l’ayant cataloguée. Le NIST lui a donné un score CVSS de 7,8, lui affectant une dangerosité élevée. Même dangerosité pour la Zero Day Initiative de Trend Micro (qui en a parlé la première en mars dernier), avec un score de 7. La CISA (Agence de cybersécurité et de sécurité des infrastructures) américaine ne lui accorde en revanche qu’un score de 3.
Une faille exploitée activement
Cette vulnérabilité a été exploitée par au moins 11 groupes APT chinois, iraniens, nord-coréens et russes dans des campagnes d'espionnage et de vol de données, selon Trend Micro. Le groupe XDSpy l'a notamment utilisée pour distribuer le malware XDigo contre des entités gouvernementales d'Europe de l'Est en juin 2025, et des acteurs chinois ont ciblé des entités diplomatiques et gouvernementales européennes avec PlugX en octobre 2025, selon des rapports de HarfangLab et Arctic Wolf.
À l'époque, Microsoft avait refusé de la corriger, arguant qu'elle ne justifiait pas un correctif immédiat car elle nécessitait une interaction utilisateur et que Windows affichait déjà des avertissements sur les fichiers non fiables. Dans une note publiée le 1ᵉʳ novembre, Microsoft explique ne même pas considérer CVE-2025-9491 comme une faille, considérant que l’utilisateur est prévenu plusieurs fois avant de continuer.
Quoi qu’il en soit, le correctif modifie le comportement de la boîte de dialogue des propriétés pour afficher l'intégralité de la commande Target, quelle que soit sa longueur.
Microsoft colmate une brèche exploitée depuis 2017 dans les fichiers LNK
-
Dangerosité variable
-
Une faille exploitée activement
Commentaires (29)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousModifié le 04/12/2025 à 11h56
Ca permet seulement de voir l'entourloupe via la boite de dialogue des propriété du lien, pour peu qu'on y pense.
Le 04/12/2025 à 12h34
Le 04/12/2025 à 13h39
Le 04/12/2025 à 14h09
Pour le reste, les fichiers .lnk sont tout aussi une faille que ne le sont les scripts en général.
Modifié le 04/12/2025 à 14h32
echo secret>helloworld.txt:1234
dir *.txt
04/12/2025 14:21 0 helloworld.txt
notepad helloworld.txt
(affiche un fichier vide)
notepad helloworld.txt:1234
(affiche le fichier avec son contenu)
Le 04/12/2025 à 15h21
Le 04/12/2025 à 16h14
Le 04/12/2025 à 16h40
Le 04/12/2025 à 16h59
Le 04/12/2025 à 17h24
Pour les ACL, j'en doute. Cela ne serait pas vraiment optimal... Sauf peut être pour les fichiers & dossiers partagés.
Le 04/12/2025 à 19h31
Stocker des metadata en dehors du fichier lui même, ca a été copié par tout le monde.
Par exemple les 'extended attributes' sur Linux.
Le 04/12/2025 à 23h24
Le 04/12/2025 à 14h46
Dire que ça fait à peine quelques mois qu'on m'a appris que c'était .lnk et pas .Ink (avec un I comme Next.ink), j'ai vécu dans l'erreur pendant des décennies 🤯
Le 05/12/2025 à 14h07
Le 05/12/2025 à 18h47
Mais quand j'ai commencé l'informatique, je crois que j'avais même pas encore commencé l'anglais LV1. Ensuite, je me suis jamais vraiment remis en cause sur cette croyance : c'est pas un truc que je prononce à l'oral, c'est pas une extension que j'indique par moi-même, et il me semble que même en affichant systématiquement les extensions dans l'Explorateur, celle-ci reste désormais invisible.
Le 04/12/2025 à 19h09
Autant dire que 100% des gens ont appris à ignorer ces alertes tant elles sont nombreuses et inappropriées 99,99% du temps.
Donc, quand une alerte de ce type est justifiée, elle est tout simplement noyée dans le flot des messages inutiles.
Modifié le 05/12/2025 à 07h53
Le 05/12/2025 à 07h51
Quand un partage est monté, c'est du local, pas Internet. Le message de windows parle de fichiers venant d'internet ce qui est hors sol.
Il y a un monde entre un partage smb et un partage webdav tout de même.
Le 06/12/2025 à 10h05
Le 06/12/2025 à 15h53
On en revient au fait que Microsoft complique les choses simple et que trop d'alertes à la con produisent l'effet inverse. Et Microsoft n'a pas à se mêler de mon réseau local en décidant qu'il est dangereux d'accéder à un fichier sur mon NAS.
Le 07/12/2025 à 10h41
Le 07/12/2025 à 21h27
Chez moi, je ne m'attend pas à des messages de ce type et je n'ai aucune idée de la façon de faire taire windows sur cet étiquetage que je ne demande pas. C'est donc juste un truc en plus que je dois subir, un truc en plus qui mange des ressources sur ma machine et un truc en plus qui peut avoir des failles.
C'est juste une des briques de la merdification de ce système.
Le 07/12/2025 à 16h04
Qui plus est, sous Windows, la fonctionnalité de partage de fichiers sur un réseau local utilise aussi le protocole SMB. Donc, même sans être en entreprise, on peut l'avoir en local, et pas que sur des choses sécurisées.
Ne t'en déplaise, la politique de Microsoft de considérer tout fichier provenant de l'extérieur de la machine comme potentiellement dangereux est des plus saines. Que cela te fasse chier dans ton cas particulier, oui, je le comprends. Mais c'est très différent de dire que Microsoft n'a pas à se mêler du réseau local : il ne s'en mêle justement pas ! Ce qui provient de l'extérieur de la machine est un danger, sans filtrage ou autre incongruité (dont pourtant Microsoft peut nous habituer malheureusement ces derniers mois/années)
Le 07/12/2025 à 21h43
Pour webdav, cela dépend: quand il utilise https, c'est ok et c'est la base de nextcloud par exemple. Mais on s'éloigne du sujet.
Il a été fait pour cela à la base, tu enfonce des portes ouvertes là.
Oui, c'est justement un cas que j'ai cité : un NAS par exemple, le cas le plus courant. C'est le cas de certaines box aussi comme la freebox.
Donc, en quoi mon NAS devrait-il être considéré comme non sécurisé ?
Modifié le 07/12/2025 à 22h25
Le transport est sécurisé. Mais la mise à disposition de fichiers est trop sensible pour être accessible directement sur Internet. Il faut soit un VPN, soit une sécurisation par SSH.
J'enfonce des portes ouvertes, mais tu semblais limiter son usage à l'entreprise. Ce qui est loin d'être le cas.
Je te retourne la question : en quoi ton NAS devrait-il être considéré comme sécurisé ? Windows ne s'occupe que du système de ton PC, et fait le nécessaire pour le sécuriser.
Ton NAS pourrait être mal configuré, accessible depuis l'extérieur et piraté, accessible à d'autres utilisateurs qui déposeraient des fichiers malveillant (volontairement ou non), et j'en passe. Et ça, Windows ne peut pas le deviner. Il fait donc ce qu'il doit être fait : le considérer comme non sécurisé, comme TOUT élément provenant du réseau.
[edit] Et pour répondre à ta question du pourquoi on voit du webdav et pas du smb sur internet, la réponse me parait relativement simple :
1) la plupart des serveurs sont sur Linux (il n'y a qu'en entreprise qu'on va avoir des serveurs Windows)
2) en entreprise, quand il y a partage de fichiers accessible depuis l'extérieur, c'est généralement configuré via VPN (que ce soit du SMB, du Webdav ou autre)
3) en général, on n'utilise du Samba (je parle de l'implémentation de SMB pour linux) que lorsqu'on veut une compatibilité avec Windows, ce qui reste relativement rare pour ce cas d'usage, généralement mis en place par des linuxiens
4) la facilité de configuration (c'est plus facile à gérer le webdav que du samba)
Le 08/12/2025 à 21h15
J'aimerai surtout que tu cesse tes réponses à mes posts sur windows car nous ne serons jamais d'accord. Tu protégeras toujours windows en toute circonstance en bon fan et cela ne fait pas avancer le débat.
Tu as le droit d'aimer windows mais j'ai aussi le droit de pester contre une fonction que j'estime stupide.
Merci d'arrêter tes commentaires rabaissants sous couvert d'explications et surtout de confondre ton avis avec une vérité absolue.
Le 08/12/2025 à 22h56
Si tu refuses que JE commentaire ce que tu écris, une autre solution : bloque moi, tout simplement. Tu ne seras plus incommodé par mes écrits.
Pour le reste, je ne suis pas un fan boy. Juste quelqu'un qui ne fait pas dans le dogmatisme et sait voir aussi bien les bons côtés que les mauvais des différentes solutions.
Windows a beaucoup de choses à se reprocher tout comme il a de très bon atouts. Si cela fait de moi un fan de reconnaitre cet état de fait, alors soit, je suis un fan.
L'approche adoptée ici par Windows est là plus sécurisée, ne t'en déplaise. Et il ne le ferait pas, tu critiquerais toi-même cet état de fait en disant que c'est une passoire...
Ce qui est dommage, c'est que tu poses parfois des questions qui soulèvent des sujets intéressants. Mon explication n'était pas là pour te rabaisser, mais pour expliquer à celles et ceux qui nous lise.
Et ne va pas croire que je répond parce que c'est toi. J'ai une mémoire de poisson rouge sur le sujet (surtout que je regarde rarement l'auteur des commentaires avant de répondre).
Là, c'est vraiment l'hôpital qui se fou de la charité. C'est justement parce que tu as fait ça ici que j'ai répondu
Le 09/12/2025 à 09h11
Il y a une chose à laquelle il faut faire attention pour ne pas braquer les gens: donner son avis sans chercher à tout prix à convaincre l'autre qu'il a tort.
Ce qui est iritant dans tes formulations est que tu interdit tacitement aux autres d'avoir un autre avis que toi.
Argumenter pour expliquer ta position est différent de systématiquement casser tous les arguments des autree pour prouver aux autres qu'ils ont forcément tort et donc que tu as forcément raison.
Quand je partage mon iritation contre les popup de windows qui m'agacent moi et mes collègues, j'ai le droit d'avoir les boules et consider que ce n'est pas une bonne pratique et tu n'a pas à m'interdire de le penser.
Le 09/12/2025 à 09h27
Oui, tu as tout à fait le droit de partager une opinion. Sauf que ce n'est pas ce que tu partages dans ton premier message. Tu aurais présenté ton avis en tant que tel et non en tant que vérité absolue je n'aurais pas réagi. La formulation que tu fais là, dans ton dernier message est beaucoup plus claire et ne souffre d'aucune ambiguïté.
Sur le principe, je suis d'accord. Maintenant, casser un argument qui me semble erroné, désolé, mais ça, je vais continuer, quel que soit le contexte (et qu'il s'agisse de toi ou d'un autre hein !). C'est pas pour prouver que j'ai bon et l'autre tort, c'est juste pour lutter contre la propagation de choses fausses.
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?